Condividi tramite


Supporto e prerequisiti per la gestione del comportamento di sicurezza dei dati

Esaminare i requisiti in questa pagina prima di configurare la gestione del comportamento di sicurezza dei dati in Microsoft Defender per il cloud.

Abilitare l'individuazione dei dati sensibili

L'individuazione dei dati sensibili è disponibile nei piani di Defender CSPM, Defender per Archiviazione e Defender per database.

  • Quando si abilita uno dei piani, l'estensione per l'individuazione dei dati sensibili viene attivata come parte del piano.
  • Se sono in esecuzione piani esistenti, l'estensione è disponibile, ma disattivata per impostazione predefinita.
  • Lo stato del piano esistente viene visualizzato come "Parziale" anziché "Completo" se non sono attivate una o più estensioni.
  • La funzionalità è attivata a livello di sottoscrizione.
  • Se l'individuazione dei dati sensibili è attivata, ma Defender CSPM non è abilitato, vengono analizzate solo le risorse di archiviazione.
  • Se una sottoscrizione è abilitata con Defender CSPM e in parallelo sono state analizzate le stesse risorse con Purview, il risultato dell'analisi di Purview viene ignorato e per impostazione predefinita viene visualizzato il risultato dell'analisi del Microsoft Defender per il cloud per il tipo di risorsa supportato.

Che cosa viene supportato?

La tabella riepiloga la disponibilità e gli scenari supportati per l'individuazione dei dati sensibili.

Supporto Dettagli
Quali risorse dati di Azure è possibile individuare? Archiviazione di oggetti:

Bloccare gli account di archiviazione BLOB in Archiviazione di Azure v1/v2

File di Azure in Archiviazione di Azure v1/v2. Supportato solo con il protocollo SMB

Azure Data Lake Storage Gen2

Sono supportati gli account di archiviazione dietro le reti private.

Sono supportati gli account di archiviazione crittografati con una chiave lato server gestita dal cliente.

Gli account non sono supportati se a un endpoint dell'account di archiviazione è associato un dominio personalizzato.

Prerequisiti e limitazioni:
- Per analizzare le condivisioni file, Defender per il cloud assegna il ruolo Lettore con privilegi per i dati dei file di archiviazione a StorageDataScanner.


Database

Database SQL di Azure

Database SQL di Azure crittografato con Transparent data encryption
Quali risorse dati AWS è possibile individuare? Archiviazione di oggetti:

Bucket di AWS S3

Defender per il cloud può individuare i dati crittografati dal Servizio di gestione delle chiavi, ma non i dati crittografati con una chiave gestita dal cliente.

Database

- Amazon Aurora
- Amazon RDS per PostgreSQL
- Amazon RDS per MySQL
- Amazon RDS per MariaDB
- Amazon RDS per SQL Server (non personalizzato)
- Amazon RDS per Oracle Database (non personalizzato, solo SE2 Edition)

Prerequisiti e limitazioni:
- È necessario abilitare i backup automatizzati.
- Il ruolo IAM creato a scopo di analisi (DefenderForCloud-DataSecurityPostureDB per impostazione predefinita) deve avere le autorizzazioni per la chiave del Servizio di gestione delle chiavi usata per la crittografia dell'istanza RDS.
- Non è possibile condividere uno snapshot del database che usa un gruppo di opzioni con opzioni permanenti o persistenti, ad eccezione delle istanze di database Oracle con l'opzione Fuso orario o OLS (o entrambi). Ulteriori informazioni
Quali risorse dati GCP è possibile individuare? Bucket di archiviazione GCP
Classe Standard
Area geografica: area geografica, doppia area, più aree
Quali autorizzazioni sono necessarie per l'individuazione? Account di archiviazione: proprietario della sottoscrizione
or
Microsoft.Authorization/roleAssignments/* (lettura, scrittura, eliminazione) e Microsoft.Security/pricings/* (lettura, scrittura, eliminazione) e Microsoft.Security/pricings/SecurityOperators (lettura, scrittura)

Bucket Amazon S3 e istanze RDS: autorizzazione dell'account AWS per eseguire Cloud Formation (per creare un ruolo).

Bucket di archiviazione GCP: autorizzazione dell'account Google per eseguire lo script (per creare un ruolo).
Quali tipi di file sono supportati per l'individuazione dei dati sensibili? Tipi di file supportati (non è possibile selezionare un sottoinsieme): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Quali aree di Azure sono supportate? È possibile individuare gli account di archiviazione di Azure in:

Asia orientale; Asia sud-orientale; Australia centrale; Australia centrale 2; Australia orientale; Australia sud-orientale; Brasile meridionale; Brasile sud-orientale; Canada centrale; Canada orientale; Europa settentrionale; Europa occidentale; Francia centrale; Francia meridionale; Germania settentrionale; Germania centro-occidentale; India centrale; India meridionale; Giappone orientale; Giappone occidentale; Jio India occidentale; Corea centrale; Corea meridionale; Norvegia orientale; Norvegia occidentale; Sudafrica settentrionale; Sudafrica occidentale; Svezia centrale; Svizzera settentrionale; Svizzera occidentale; Emirati Arabi Uniti settentrionale; Regno Unito meridionale; Regno Unito occidentale; Stati Uniti centrali; Stati Uniti orientali; Stati Uniti orientali 2; Stati Uniti centro-settentrionali; Stati Uniti centro-meridionale; Stati Uniti occidentali; Stati Uniti occidentali 2; Stati Uniti centro-occidentali;

È possibile individuare database SQL di Azure in qualsiasi area in cui sono supportati i database SQL di Azure e Defender CSPM.
Quali regioni AWS sono supportate? S3:

Asia Pacifico (Mumbai); Asia Pacifico (Singapore); Asia Pacifico (Sydney); Asia Pacifico (Tokyo); Canada (Montreal); Europa (Francoforte); Europa (Irlanda); Europa (Londra); Europa (Parigi); Europa (Stoccolma); Sud America (San Paolo); Stati Uniti orientali (Ohio); Stati Uniti orientali (N. Virginia); Stati Uniti occidentali (N. California): Stati Uniti occidentali (Oregon).


RDS:

Africa (Città del Capo); Asia Pacifico (HONG KONG SAR); Asia Pacifico (Hyderabad): Asia Pacifico (Melbourne); Asia Pacifico (Mumbai); Asia Pacifico (Osaka); Asia Pacifico (Seoul); Asia Pacifico (Singapore); Asia Pacifico (Sydney); Asia Pacifico (Tokyo); Canada (centrale); Europa (Francoforte); Europa (Irlanda); Europa (Londra); Europa (Parigi); Europa (Stoccolma); Europa (Zurigo); Medio Oriente (Emirati Arabi Uniti); Sud America (San Paolo); Stati Uniti orientali (Ohio); Stati Uniti orientali (N. Virginia); Stati Uniti occidentali (N. California): Stati Uniti occidentali (Oregon).

L'individuazione viene eseguita localmente all'interno dell'area.
Quali regioni GCP sono supportate? Europa-Ovest1, Stati Uniti Est1, Stati Uniti Ovest1, Stati Uniti Centrali1, Stati Uniti Est4, Asia-Sud1, Nord America-Nord-Est1
È necessario installare un agente? No, l'individuazione non richiede l'installazione dell'agente.
Qual è il costo? La funzionalità è inclusa nei piani Defender CSPM e Defender per Archiviazione e non comporta costi aggiuntivi tranne i rispettivi costi del piano.
Quali autorizzazioni sono necessarie per visualizzare/modificare le impostazioni di riservatezza dei dati? È necessario uno di questi ruoli di Microsoft Entra:
  • Amministratore dei dati di conformità, amministratore della conformità o superiore
  • Operatore di sicurezza, amministratore della sicurezza o superiore
  • Quali autorizzazioni è necessario per eseguire l'onboarding? È necessario uno di questi ruoli di controllo degli accessi in base al ruolo di Azure (Azure RBAC): Amministratore della sicurezza, Collaboratore, Proprietario a livello di sottoscrizione (in cui risiede il progetto/i progetti GCP). Per l'utilizzo dei risultati della sicurezza: ruolo con autorizzazioni di lettura per la sicurezza, amministratore della sicurezza, lettore, collaboratore, proprietario a livello di sottoscrizione (in cui risiede il progetto/i progetti GCP).

    Configurare le impostazioni di riservatezza dei dati

    I passaggi principali per la configurazione delle impostazioni di riservatezza dei dati includono:

    Ulteriori informazioni sulle etichette di riservatezza in Microsoft Purview

    Individuazione

    Defender per il cloud inizia l'individuazione dei dati immediatamente dopo l'abilitazione di un piano o dopo l'attivazione della funzionalità nei piani già in esecuzione.

    Per l'archiviazione di oggetti:

    • Per visualizzare i risultati di una prima individuazione, sono necessarie fino a 24 ore.
    • Dopo l'aggiornamento dei file nelle risorse individuate, i dati vengono aggiornati entro otto giorni.
    • Un nuovo account di archiviazione di Azure aggiunto a una sottoscrizione già individuata viene individuato entro al massimo 24 ore.
    • Un nuovo bucket AWS S3 o un bucket di archiviazione GCP aggiunto a un account AWS già individuato o un account Google viene individuato entro al massimo 48.
    • L'individuazione dei dati sensibili per l'archiviazione viene eseguita localmente all'interno dell'area. Ciò garantisce che i dati non lascino l'area. Solo i metadati delle risorse, ad esempio file, BLOB, nomi di bucket, etichette di riservatezza rilevate e i nomi dei tipi di informazioni riservate identificati vengono trasferiti a Defender per il cloud.

    Per i database:

    • I database vengono analizzati su base settimanale.
    • Per le sottoscrizioni appena abilitate, i risultati vengono visualizzati entro 24 ore.

    Cloud Security Explorer

    Vengono visualizzati tutti i tipi di archiviazione, inclusi gli account Archiviazione di Azure, i bucket AWS e i bucket GCP, indipendentemente dalle informazioni dettagliate associate. Per gli account Archiviazione di Azure, che includono contenitori BLOB e condivisioni file, si applicano le regole seguenti:

    • I contenitori BLOB vengono visualizzati se soddisfano uno dei criteri seguenti:

      • Contengono informazioni dettagliate sui dati sensibili.

      • Hanno informazioni dettagliate sull'accesso pubblico.

      • Hanno una regola di replica da o verso un altro BLOB.

    • Le condivisioni file vengono visualizzate solo se hanno informazioni dettagliate su "Contiene dati sensibili".

    Individuare e analizzare gli account di archiviazione di Azure

    Per analizzare gli account di archiviazione di Azure, Microsoft Defender per il cloud crea una nuova storageDataScanner risorsa e la assegna al ruolo Lettore dei dati del BLOB di archiviazione. Questo ruolo concede le seguenti autorizzazioni:

    • List
    • Lettura

    Per gli account di archiviazione dietro le reti private, includiamo lo StorageDataScanner nell'elenco delle istanze di risorse consentite nella configurazione delle regole di rete dell'account di archiviazione.

    Individuare e analizzare bucket AWS S3

    Per proteggere le risorse AWS in Defender per il cloud, è necessario configurare un connettore AWS usando un modello CloudFormation per eseguire l'onboarding dell'account AWS.

    • Per individuare le risorse dati di AWS, Defender per il cloud aggiorna il modello CloudFormation.
    • Il modello CloudFormation crea un nuovo ruolo in AWS IAM per consentire allo scanner di Defender per il cloud di accedere ai dati nei bucket S3.
    • Per connettere gli account AWS, sono necessarie autorizzazioni di amministratore per l'account.
    • Il ruolo consente queste autorizzazioni: solo lettura S3; decrittografare il Servizio di gestione delle chiavi.

    Individuare e analizzare le istanze di AWS RDS

    Per proteggere le risorse AWS in Defender per il cloud, è necessario configurare un connettore AWS usando un modello CloudFormation per eseguire l'onboarding dell'account AWS.

    • Per individuare le istanze di AWS RDS, Defender per il cloud aggiorna il modello CloudFormation.
    • Il modello CloudFormation crea un nuovo ruolo in AWS IAM, per consentire allo scanner di Defender per il cloud di acquisire l'ultimo snapshot automatizzato disponibile dell'istanza e portarlo online in un ambiente di analisi isolato all'interno della stessa area AWS.
    • Per connettere gli account AWS, sono necessarie autorizzazioni di amministratore per l'account.
    • Gli snapshot automatizzati devono essere abilitati nelle istanze/cluster RDS pertinenti.
    • Il ruolo consente queste autorizzazioni (esaminare il modello CloudFormation per le definizioni esatte):
      • Elencare tutti i database/cluster RDS
      • Copiare tutti gli snapshot di database/cluster
      • Eliminare/aggiornare lo snapshot dei database/cluster con prefisso defenderfordatabases
      • Elencare tutte le chiavi del server di gestione delle chiavi
      • Usare tutte le chiavi del server di gestione delle chiavi solo per RDS nell'account di origine
      • Creare & disporre del controllo completo su tutte le chiavi del Servizio di gestione delle chiavi con prefisso tag DefenderForDatabases
      • Creare un alias per le chiavi del server di gestione delle chiavi
    • Le chiavi del Servizio di gestione delle chiavi vengono create una sola volta per ogni area che contiene istanze RDS. La creazione di una chiave del Servizio di gestione delle chiavi potrebbe comportare un costo aggiuntivo minimo, in base ai prezzi del Servizio di gestione delle chiavi di AWS.

    Individuare e analizzare i bucket di archiviazione GCP

    Per proteggere le risorse GCP in Defender per il cloud, è possibile configurare un connettore Google usando un modello di script per eseguire l'onboarding dell'account GCP.

    • Per individuare i bucket di archiviazione GCP, Defender per il cloud aggiorna il modello di script.
    • Il modello di script crea un nuovo ruolo nell'account Google per consentire allo scanner di Defender per il cloud di accedere ai dati nei bucket di archiviazione GCP.
    • Per connettere gli account Google, sono necessarie autorizzazioni di amministratore per l'account.

    Esposto a Internet/consente l'accesso pubblico

    I percorsi di attacco di Defender CSPM e le informazioni dettagliate sul grafico della sicurezza del cloud includono informazioni sulle risorse di archiviazione esposte a Internet e che consentono l'accesso pubblico. La tabella seguente fornisce informazioni più dettagliate.

    Stato Account di archiviazione di Azure Bucket di AWS S3 Bucket di archiviazione GCP
    Esposto a Internet Un account di archiviazione di Azure viene considerato esposto a Internet se una di queste impostazioni è abilitata:

    Storage_account_name >Rete>Accesso alla rete pubblica>Abilitato da tutte le reti

    or

    Storage_account_name >Rete>Accesso alla rete pubblica>Abilitato da reti virtuali e indirizzi IP selezionati.
    Un bucket AWS S3 viene considerato esposto a Internet se i criteri dell'account AWS/bucket AWS S3 non hanno una condizione impostata per gli indirizzi IP. Per impostazione predefinita, tutti i bucket di archiviazione GCP vengono esposti a Internet.
    Consente l'accesso pubblico Un contenitore dell'account di archiviazione di Azure viene considerato come disponibile all'accesso pubblico se queste impostazioni sono abilitate nell'account di archiviazione:

    Storage_account_name >Configurazione>Consenti accesso anonimo ai BLOB>Abilitato.

    e una di queste impostazioni:

    Storage_account_name >Contenitori> container_name >Livello di accesso pubblico impostato su BLOB (accesso in lettura anonimo solo per i BLOB)

    In alternativa, storage_account_name >Contenitori> container_name >Livello di accesso pubblico impostato su Contenitori (accesso in lettura anonimo per contenitori e BLOB).
    Un bucket AWS S3 viene considerato disponibile all'accesso pubblico se sia l'account AWS che il bucket AWS S3 hanno l'opzione Blocca tutti gli accessi pubblici impostata su Off e viene configurata una di queste impostazioni:

    Nei criteri, RestrictPublicBuckets non è abilitato e l'impostazione Principale è impostata su * e quella Effetto è impostata su Consenti.

    Oppure, nell'elenco di controllo accessi, IgnorePublicAcl non è abilitato e l'autorizzazione è concessa a Tutti o agli Utenti autenticati.
    Un bucket di archiviazione GCP viene considerato disponibile all'accesso pubblico se ha un ruolo IAM (Identity and Access Management) che soddisfa questi criteri:

    Il ruolo viene concesso a allUsers o allAuthenticatedUsers dell'entità servizio.

    Il ruolo ha almeno un'autorizzazione di archiviazione che non è storage.buckets.create o storage.buckets.list. L'accesso pubblico in GCP è denominato Public to Internet.

    Le risorse del database non consentono l'accesso pubblico, ma possono comunque essere esposte a Internet.

    Le informazioni dettagliate sull'esposizione Internet sono disponibili per le risorse seguenti:

    Azure:

    • Server di Azure SQL
    • Azure Cosmos DB
    • Istanza gestita di SQL di Azure
    • Azure MySQL - Server singolo
    • Server flessibile Azure MySQL
    • Server singolo di Azure PostgreSQL
    • Server flessibile di Azure PostgreSQL
    • Server singolo di Azure MariaDB
    • Area di lavoro di Synapse

    AWS:

    • Istanza RDS

    Nota

    • Le regole di esposizione che includono 0.0.0.0/0 vengono considerate "eccessivamente esposte", ovvero sono accessibili da qualsiasi indirizzo IP pubblico.
    • Le risorse di Azure con la regola di esposizione "0.0.0.0" sono accessibili da qualsiasi risorsa in Azure (indipendentemente dal tenant o dalla sottoscrizione).

    Abilitare la gestione della postura di sicurezza dei dati.