Zasady zabezpieczeń w Defender dla Chmury
Zasady zabezpieczeń w Microsoft Defender dla Chmury składają się ze standardów zabezpieczeń i zaleceń, które pomagają poprawić stan zabezpieczeń chmury.
Standardy zabezpieczeń definiują reguły, warunki zgodności dla tych reguł i akcje (efekty) do wykonania, jeśli warunki nie zostaną spełnione. Defender dla Chmury ocenia zasoby i obciążenia pod kątem standardów zabezpieczeń, które są włączone w subskrypcjach platformy Azure, kontach usług Amazon Web Services (AWS) i projektach Google Cloud Platform (GCP). Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki ułatwiające korygowanie problemów z zabezpieczeniami.
Standardy zabezpieczeń
Standardy zabezpieczeń w Defender dla Chmury pochodzą z następujących źródeł:
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB): standard MCSB jest stosowany domyślnie podczas dołączania kont w chmurze do usługi Defender. Wskaźnik bezpieczeństwa jest oparty na ocenie niektórych zaleceń MCSB.
Standardy zgodności z przepisami: po włączeniu co najmniej jednego planu Defender dla Chmury można dodać standardy z szerokiej gamy wstępnie zdefiniowanych programów zgodności z przepisami.
Standardy niestandardowe: niestandardowe standardy zabezpieczeń można tworzyć w Defender dla Chmury, a następnie dodawać wbudowane i niestandardowe zalecenia do tych niestandardowych standardów zgodnie z potrzebami.
Standardy zabezpieczeń w Defender dla Chmury są oparte na inicjatywach usługi Azure Policylub na platformie natywnej Defender dla Chmury. Obecnie standardy platformy Azure są oparte na usłudze Azure Policy. Standardy platform AWS i GCP są oparte na Defender dla Chmury.
Praca ze standardami zabezpieczeń
Oto, co można zrobić ze standardami zabezpieczeń w Defender dla Chmury:
Zmodyfikuj wbudowaną subskrypcję MCSB: po włączeniu Defender dla Chmury mcSB jest automatycznie przypisywany do wszystkich Defender dla Chmury zarejestrowanych subskrypcji. Dowiedz się więcej o zarządzaniu standardem MCSB.
Dodaj standardy zgodności z przepisami: jeśli masz włączony co najmniej jeden płatny plan, możesz przypisać wbudowane standardy zgodności, względem których można ocenić zasoby platformy Azure, AWS i GCP. Dowiedz się więcej o przypisywaniu standardów regulacyjnych.
Dodaj standardy niestandardowe: jeśli masz włączony co najmniej jeden płatny plan usługi Defender, możesz zdefiniować nowe standardy niestandardowe i zalecenia niestandardowe w portalu Defender dla Chmury. Następnie możesz dodać zalecenia do tych standardów.
Standardy niestandardowe
Standardy niestandardowe są wyświetlane wraz z wbudowanymi standardami na pulpicie nawigacyjnym zgodności z przepisami .
Rekomendacje pochodzące z ocen z niestandardowymi standardami są wyświetlane razem z zaleceniami wbudowanymi standardami. Standardy niestandardowe mogą zawierać wbudowane i niestandardowe zalecenia.
Zalecenia niestandardowe
Wszyscy klienci z subskrypcjami platformy Azure mogą tworzyć niestandardowe rekomendacje na podstawie usługi Azure Policy. Usługa Azure Policy umożliwia utworzenie definicji zasad, przypisanie jej do inicjatywy zasad oraz scalenie tej inicjatywy i zasad z Defender dla Chmury.
Zalecenia niestandardowe oparte na język zapytań Kusto (KQL) są dostępne dla wszystkich chmur, ale wymagają włączenia planu CSPM w usłudze Defender. Te zalecenia umożliwiają określenie unikatowej nazwy, opisu, kroków korygowania, ważności i standardów, do których należy przypisać zalecenie. Dodasz logikę rekomendacji za pomocą języka KQL. Edytor zapytań udostępnia wbudowany szablon zapytania, który można dostosować zgodnie z potrzebami lub napisać zapytanie KQL od podstaw.
Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń w Microsoft Defender dla Chmury.
Zalecenia dotyczące zabezpieczeń
Defender dla Chmury okresowo i stale analizuje i ocenia stan zabezpieczeń chronionych zasobów przed zdefiniowanymi standardami zabezpieczeń, aby zidentyfikować potencjalne błędy konfiguracji i słabości zabezpieczeń. Defender dla Chmury następnie udostępnia zalecenia na podstawie wyników oceny.
Każde zalecenie zawiera następujące informacje:
- Krótki opis problemu
- Kroki korygowania dotyczące implementowania zalecenia
- Zasoby, których dotyczy problem
- Poziom ryzyka
- Czynniki ryzyka
- Ścieżki ataków
Każde zalecenie w Defender dla Chmury ma skojarzony poziom ryzyka, który reprezentuje sposób wykorzystania i wpływu problemu z zabezpieczeniami w danym środowisku. Aparat oceny ryzyka uwzględnia czynniki, takie jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i korygowanie ścieżki ataku. Rekomendacje można określić według priorytetów na podstawie ich poziomów ryzyka.
Ważne
Priorytetyzacja ryzyka nie ma wpływu na wskaźnik bezpieczeństwa.
Przykład
Standard MCSB to inicjatywa usługi Azure Policy obejmująca wiele mechanizmów kontroli zgodności. Jedną z tych kontrolek jest "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".
Ponieważ Defender dla Chmury stale ocenia i znajduje zasoby, które nie spełniają tej kontroli, oznacza zasoby jako niezgodne i wyzwala zalecenie. W takim przypadku wskazówki dotyczą wzmacniania zabezpieczeń kont usługi Azure Storage, które nie są chronione za pomocą reguł sieci wirtualnej.
Następne kroki
- Dowiedz się więcej na temat standardów zgodności z przepisami, MCSB i poprawy zgodności z przepisami.
- Dowiedz się więcej o zaleceniach dotyczących zabezpieczeń.