Mik azok a biztonsági szabályzatok, kezdeményezések és javaslatok?

A Microsoft Defender for Cloud biztonsági kezdeményezéseket alkalmaz az előfizetésekre. Ezek a kezdeményezések egy vagy több biztonsági szabályzatot tartalmaznak. Ezek a szabályzatok biztonsági javaslatot eredményeznek a biztonsági helyzet javításához. Ez az oldal részletesen ismerteti ezeket az ötleteket.

Mi az a biztonsági szabályzat?

Az Azure Policyban létrehozott Azure Policy-definíciók olyan biztonsági feltételekre vonatkozó szabályok, amelyeket szabályozni szeretne. A beépített definíciók közé tartozik például annak szabályozása, hogy milyen típusú erőforrások helyezhetők üzembe, vagy a címkék használatának kényszerítése az összes erőforráson. Saját egyéni szabályzatdefiníciókat is létrehozhat.

Ezeknek a szabályzatdefinícióknak a megvalósításához (akár beépített, akár egyéni) hozzá kell rendelnie őket. Ezen szabályzatok bármelyike hozzárendelhető az Azure Portalon, a PowerShellben vagy az Azure CLI-n. A szabályzatok letilthatók vagy engedélyezhetők az Azure Policyből.

Az Azure Policyben különböző típusú szabályzatok léteznek. A Defender for Cloud elsősorban olyan "naplózási" szabályzatokat használ, amelyek ellenőrzik az adott feltételeket és konfigurációkat, majd jelentést adnak a megfelelőségről. Léteznek "Kényszerítés" szabályzatok is, amelyek a biztonságos beállítások alkalmazásához használhatók.

Mi az a biztonsági kezdeményezés?

Az Azure Policy-kezdeményezések olyan Azure Policy-definíciók vagy -szabályok gyűjteményei, amelyek egy adott cél vagy cél szerint vannak csoportosítva. Az Azure-kezdeményezések leegyszerűsítik a szabályzatok kezelését azáltal, hogy logikailag egyetlen elemként csoportosítják a szabályzatokat.

Egy biztonsági kezdeményezés határozza meg a számítási feladatok kívánt konfigurációját, és segít biztosítani, hogy megfeleljen a vállalat vagy a szabályozók biztonsági követelményeinek.

A biztonsági szabályzatokhoz hasonlóan a Defender for Cloud kezdeményezései is az Azure Policyban jönnek létre. Az Azure Policy használatával kezelheti a szabályzatokat, kezdeményezéseket hozhat létre, és kezdeményezéseket rendelhet több előfizetéshez vagy teljes felügyeleti csoportokhoz.

A Microsoft Defender for Cloud minden előfizetéséhez automatikusan hozzárendelt alapértelmezett kezdeményezés az Azure Security Benchmark. Ez a teljesítményteszt a Microsoft által létrehozott, Azure-specifikus irányelvcsomag a közös megfelelőségi keretrendszereken alapuló biztonsági és megfelelőségi ajánlott eljárásokhoz. Ez a széles körben elismert referenciamutató a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, és a felhőközpontú biztonságra összpontosít. További tudnivalók az Azure-biztonsági teljesítménytesztről.

A Defender for Cloud a következő lehetőségeket kínálja a biztonsági kezdeményezések és szabályzatok használatához:

  • A beépített alapértelmezett kezdeményezés megtekintése és szerkesztése – A Defender for Cloud engedélyezésekor a rendszer automatikusan hozzárendeli az "Azure Security Benchmark" nevű kezdeményezést az összes regisztrált Defender for Cloud-előfizetéshez. A kezdeményezés testreszabásához engedélyezheti vagy letilthatja az egyes szabályzatokat a házirend paramétereinek szerkesztésével. A beépített biztonsági szabályzatok listájában áttekintheti a beépített beállításokat.

  • Saját egyéni kezdeményezések hozzáadása – Ha testre szeretné szabni az előfizetésre alkalmazott biztonsági kezdeményezéseket, ezt a Defender for Cloudon belül teheti meg. Ezután javaslatokat fog kapni, ha a gépek nem követik a létrehozott szabályzatokat. Az egyéni szabályzatok létrehozásával és hozzárendelésével kapcsolatos utasításokért lásd: Egyéni biztonsági kezdeményezések és szabályzatok használata.

  • Szabályozási megfelelőségi szabványok hozzáadása kezdeményezésekként – A Defender for Cloud jogszabályi megfelelőségi irányítópultja egy adott szabvány vagy rendelet (például Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020) kontextusában jeleníti meg az összes értékelés állapotát a környezetben. További információ: A jogszabályi megfelelőség javítása.

Mi az a biztonsági javaslat?

A szabályzatok használatával a Defender for Cloud rendszeres időközönként elemzi az erőforrások megfelelőségi állapotát a lehetséges biztonsági konfigurációk és gyengeségek azonosítása érdekében. Ezután javaslatokat tesz a problémák megoldására. A javaslatok az erőforrásoknak a vonatkozó szabályzatok alapján történő értékeléséből és a meghatározott követelményeknek nem megfelelő erőforrások azonosításából erednek.

A Defender for Cloud a választott kezdeményezések alapján tesz biztonsági javaslatokat. Ha a kezdeményezésből származó szabályzatot összehasonlítja az erőforrásaival, és egy vagy több nem megfelelő szabályzatot talál, az javaslatként jelenik meg a Defender for Cloudban.

A javaslatok olyan műveletek, amelyeket meg kell tennie az erőforrások védelme és megerősítése érdekében. Minden javaslat a következő információkat biztosítja:

  • A probléma rövid leírása
  • A javaslat megvalósításához szükséges szervizelési lépések
  • Az érintett erőforrások

A gyakorlatban a következőképpen működik:

  1. Az Azure Security Benchmark egy olyan kezdeményezés , amely követelményeket tartalmaz.

    Az Azure Storage-fiókoknak például korlátozniuk kell a hálózati hozzáférést a támadási felületük csökkentése érdekében.

  2. A kezdeményezés több szabályzatot is tartalmaz, amelyek mindegyike egy adott erőforrástípusra vonatkozó követelményt tartalmaz. Ezek a szabályzatok kikényszeríti a kezdeményezés követelményeit.

    A példa folytatásához a tárterületre vonatkozó követelményt "A tárfiókok virtuális hálózati szabályok használatával korlátozzák a hálózati hozzáférést" szabályzattal kényszerítik ki.

  3. A Microsoft Defender for Cloud folyamatosan értékeli a csatlakoztatott előfizetéseket. Ha olyan erőforrást talál, amely nem felel meg egy szabályzatnak, javaslatot jelenít meg a helyzet megoldására és a biztonsági követelményeknek nem megfelelő erőforrások biztonságának javítására.

    Így például ha egy Azure Storage-fiók egyik védett előfizetésében sincs virtuális hálózati szabályokkal védve, megjelenik a javaslat az erőforrások korlátozására.

Így (1) egy kezdeményezés (2) olyan szabályzatokat tartalmaz, amelyek (3) környezetspecifikus javaslatokat hoznak létre.

Biztonsági javaslat részletei

A biztonsági javaslatok olyan részleteket tartalmaznak, amelyek segítenek megérteni annak jelentőségét és kezelésének módját.

Screenshot of the recommendation details page with labels for each element.

A javaslatok részletei a következők:

  1. Támogatott javaslatok esetén a felső eszköztáron az alábbi gombok bármelyike vagy mindegyike látható:

  2. Súlyossági mutató

  3. Frissességi intervallum

  4. A kivétel alá tartozó erőforrások száma , ha vannak kivételek egy javaslathoz. Ez az egyes erőforrások megtekintésére szolgáló hivatkozással felmentett erőforrások számát mutatja.

  5. Leképezés MITRE ATT-hez& CK ® taktika és technikák , ha egy javaslat meghatározott taktikák és technikák, válassza az ikont a hivatkozások a releváns oldalak a MITRE honlapján. Ez csak az Azure által pontozott javaslatokra vonatkozik.

    Screenshot of the MITRE tactics mapping for a recommendation.

  6. Leírás – A biztonsági probléma rövid leírása.

  7. Ha releváns, a részletek oldal a kapcsolódó javaslatok táblázatát is tartalmazza:

    A kapcsolattípusok a következők:

    • Előfeltétel – A kiválasztott javaslat előtt teljesítendő javaslat
    • Alternatív – Egy másik javaslat, amely egy másik módszert kínál a kiválasztott javaslat céljainak elérésére
    • Függő – Az a javaslat, amelyhez a kiválasztott javaslat előfeltétele

    Minden kapcsolódó javaslat esetében az "Érintett erőforrások" oszlopban megjelenik a nem kifogástalan állapotú erőforrások száma.

    Tipp

    Ha egy kapcsolódó javaslat szürkén jelenik meg, a függősége még nem fejeződött be, így nem érhető el.

  8. Szervizelési lépések – Az érintett erőforrások biztonsági problémájának elhárításához szükséges manuális lépések leírása. A Javítás lehetőséggel kapcsolatos javaslatok esetén a javasolt javítás erőforrásokra való alkalmazása előtt kiválaszthatja aSzervizelési logika megtekintése lehetőséget.

  9. Érintett erőforrások – Az erőforrások lapfülekbe vannak csoportosítva:

    • Kifogástalan állapotú erőforrások – Olyan releváns erőforrások, amelyek nincsenek hatással, vagy amelyeken már elhárította a problémát.
    • Nem megfelelő állapotú erőforrások – Az azonosított probléma által továbbra is érintett erőforrások.
    • Nem alkalmazható erőforrások – Olyan erőforrások, amelyekre a javaslat nem tud végleges választ adni. A nem alkalmazható lap az egyes erőforrások okait is tartalmazza.

    Screenshot of resources for which the recommendation can't give a definitive answer.

  10. Akciógombok a javaslat szervizeléséhez vagy egy logikai alkalmazás aktiválásához.

Javaslatok és szabályzatok közötti kapcsolat megtekintése

Ahogy korábban említettük, a Defender for Cloud beépített ajánlásai az Azure Biztonsági Teljesítményteszten alapulnak. Szinte minden ajánlás rendelkezik egy mögöttes szabályzattal, amely a referenciamutató egyik követelményéből származik.

Amikor áttekinti egy javaslat részleteit, gyakran hasznos lehet látni az alapul szolgáló szabályzatot. A szabályzatok által támogatott minden javaslathoz használja a javaslat részleteit tartalmazó oldal Szabályzatdefiníció megtekintése hivatkozását, hogy közvetlenül a vonatkozó szabályzat Azure Policy-bejegyzésére lépjen:

Link to Azure Policy page for the specific policy supporting a recommendation.

Ezen a hivatkozáson megtekintheti a szabályzatdefiníciót, és áttekintheti a kiértékelési logikát.

Ha áttekinti a biztonsági javaslatok referencia-útmutatójában található javaslatok listáját, a szabályzatdefiníciós oldalakra mutató hivatkozásokat is látni fog:

Accessing the Azure Policy page for a specific policy directly from the Microsoft Defender for Cloud recommendations reference page.

Következő lépések

Ez az oldal magas szinten ismertette a szabályzatok, kezdeményezések és javaslatok alapvető fogalmait és kapcsolatait. A kapcsolódó információkért lásd: