Microsoft Defender untuk keamanan data Cloud
Untuk membantu pelanggan mencegah, mendeteksi, dan merespons ancaman, Microsoft Defender untuk Cloud mengumpulkan dan memproses data terkait keamanan, termasuk informasi konfigurasi, metadata, log peristiwa, dan banyak lagi. Microsoft mematuhi pedoman kepatuhan dan keamanan yang ketat—mulai dari pengkodean hingga pengoperasian layanan.
Artikel ini menjelaskan cara data dikelola dan diamankan di Defender untuk Cloud.
Sumber data
Defender untuk Cloud menganalisis data dari sumber berikut untuk memberikan visibilitas ke status keamanan Anda, mengidentifikasi kerentanan dan merekomendasikan mitigasi, serta mendeteksi ancaman aktif:
- Layanan Azure: Menggunakan informasi tentang konfigurasi layanan Azure yang telah Anda terapkan dengan berkomunikasi dengan penyedia sumber daya layanan tersebut.
- Lalu lintas jaringan: Menggunakan metadata lalu lintas jaringan sampel dari infrastruktur Microsoft, seperti sumber/IP tujuan/port, ukuran paket, dan protokol jaringan.
- Solusi mitra: Menggunakan pemberitahuan keamanan dari solusi mitra terintegrasi, seperti firewall dan solusi antimalware.
- Mesin Anda: Menggunakan detail konfigurasi dan informasi tentang kejadian keamanan, seperti kejadian Windows dan log audit, serta pesan syslog dari komputer Anda.
Berbagi data
Saat Anda mengaktifkan pemindaian malware Defender for Storage, ia mungkin berbagi metadata, termasuk metadata yang diklasifikasikan sebagai data pelanggan (misalnya hash SHA-256), dengan Microsoft Defender untuk Titik Akhir.
Microsoft Defender untuk Cloud menjalankan data berbagi paket Defender untuk Cloud Security Posture Management (CSPM) yang diintegrasikan ke dalam rekomendasi Microsoft Security Exposure Management.
Catatan
Microsoft Security Exposure Management saat ini dalam pratinjau publik.
Perlindungan data
Pemisahan data
Data disimpan secara logis terpisah pada setiap komponen di seluruh layanan. Semua data diberi tag per organisasi. Pemberian tag ini berlangsung seluruh siklus hidup data, dan diterapkan di setiap lapisan layanan.
Akses data
Untuk memberikan rekomendasi keamanan dan menyelidiki potensi ancaman keamanan, personel Microsoft mungkin mengakses informasi yang dikumpulkan atau dianalisis oleh layanan Azure, termasuk peristiwa pembuatan proses, dan artefak lainnya, yang mungkin secara tidak sengaja menyertakan data pelanggan atau data pribadi dari komputer Anda.
Kami mematuhi Adendum Perlindungan Data Layanan Online Microsoft, yang menyatakan bahwa Microsoft tidak akan menggunakan Data Pelanggan atau memperoleh informasi darinya untuk tujuan iklan atau komersial serupa. Kami hanya menggunakan Data Pelanggan sesuai kebutuhan untuk menyediakan layanan Azure kepada Anda, termasuk tujuan yang kompatibel dengan penyediaan layanan tersebut. Anda menyimpan semua hak atas Data Pelanggan.
Penggunaan data
Microsoft menggunakan pola dan inteligensi ancaman yang terlihat di beberapa penyewa untuk meningkatkan kemampuan pencegahan dan deteksi kami; kami melakukannya sesuai dengan komitmen privasi yang dijelaskan dalam Pernyataan Privasi kami.
Mengelola koleksi data dari mesin
Saat Anda mengaktifkan Defender untuk Cloud di Azure, pengumpulan data diaktifkan untuk setiap langganan Azure Anda. Anda juga dapat mengaktifkan pengumpulan data untuk langganan Anda di Defender untuk Cloud. Saat pengumpulan data diaktifkan, Defender untuk Cloud memprovisikan agen Analitik Log di semua mesin virtual Azure yang didukung dan yang baru dibuat.
Agen Analitik Log memindai berbagai konfigurasi terkait keamanan dan memasukkan kejadian ke dalam jejak Event Tracing for Windows (ETW). Selain itu, sistem operasi menaikkan peristiwa log peristiwa selama menjalankan komputer. Contoh data tersebut adalah: jenis dan versi sistem operasi, log sistem operasi (log kejadian Windows), proses yang berjalan, nama mesin, alamat IP, pengguna yang masuk, dan ID penyewa. Agen Analitik Log membaca entri log kejadian dan jejak ETW dan menyalinnya ke ruang kerja Anda untuk analisis. Agen Analitik Log juga memungkinkan pemrosesan kejadian pembuatan dan audit baris perintah.
Jika Anda tidak menggunakan fitur keamanan Microsoft Defender untuk Cloud yang disempurnakan, Anda juga dapat menonaktifkan pengumpulan data dari mesin virtual di Kebijakan Keamanan. Pengumpulan Data diperlukan untuk langganan yang dilindungi oleh fitur keamanan yang ditingkatkan. Rekam jepret disk dan koleksi artefak komputer virtual akan tetap diaktifkan meskipun koleksi data telah dinonaktifkan.
Anda dapat menentukan ruang kerja dan wilayah tempat data yang dikumpulkan dari mesin Anda disimpan. Defaultnya adalah menyimpan data yang dikumpulkan dari mesin Anda di ruang kerja terdekat seperti yang diperlihatkan dalam tabel berikut ini:
VM Geo | Geo Ruang Kerja |
---|---|
Amerika Serikat, Brasil, Afrika Selatan | Amerika Serikat |
Kanada | Kanada |
Eropa (tidak termasuk Inggris Raya) | Eropa |
Inggris Raya | Inggris Raya |
Asia (tidak termasuk India, Jepang, Korea, Tiongkok) | Asia Pasifik |
Korea | Asia Pasifik |
India | India |
Jepang | Jepang |
Tiongkok | Tiongkok |
Australia | Australia |
Catatan
Microsoft Defender untuk penyimpanan menyimpan artefak secara regional sesuai dengan lokasi sumber daya Azure terkait. Pelajari selengkapnya di Gambaran Umum Microsoft Defender untuk Penyimpanan.
Penggunaan data
Pelanggan dapat mengakses data terkait Defender untuk Cloud dari aliran data berikut:
Stream | Jenis data |
---|---|
Log Aktivitas Azure | Semua pemberitahuan keamanan, disetujui Defender untuk Cloud permintaan akses just-in-time. |
Log Azure Monitor | Semua pemberitahuan keamanan baru. |
Azure Resource Graph | Pemberitahuan keamanan, rekomendasi keamanan, hasil penilaian kerentanan, informasi skor aman, status pemeriksaan kepatuhan, dan banyak lagi. |
Microsoft Defender untuk Cloud REST API | Peringatan keamanan, rekomendasi keamanan, dan lainnya. |
Catatan
Jika tidak ada paket Defender yang diaktifkan pada langganan, data akan dihapus dari Azure Resource Graph setelah 30 hari tidak aktif di portal Microsoft Defender untuk Cloud. Setelah interaksi dengan artefak di portal yang terkait dengan langganan, data harus terlihat lagi dalam waktu 24 jam.
Retensi data
Saat grafik keamanan cloud mengumpulkan data dari lingkungan Azure dan multicloud dan sumber data lainnya, grafik tersebut menyimpan data selama periode 14 hari. Setelah 14 hari, data dihapus.
Data terhitung, seperti jalur serangan, mungkin disimpan selama 14 hari tambahan. Data terhitung terdiri dari data yang berasal dari data mentah yang dikumpulkan dari lingkungan. Misalnya, jalur serangan berasal dari data mentah yang dikumpulkan dari lingkungan.
Informasi ini dikumpulkan sesuai dengan komitmen privasi yang dijelaskan dalam Pernyataan Privasi kami.
Defender untuk Cloud dan integrasi Pertahanan Microsoft 365
Saat Mengaktifkan salah satu paket berbayar Defender untuk Cloud, Anda secara otomatis mendapatkan semua manfaat Microsoft Defender XDR. Informasi dari Defender untuk Cloud akan dibagikan dengan Pertahanan Microsoft XDR. Data ini mungkin berisi data pelanggan dan akan disimpan sesuai dengan panduan penanganan data Microsoft 365.