你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Defender for Cloud 中的安全策略

项目
03/20/2024

Microsoft Defender for Cloud 中的安全策略包括有助于改善云安全状况的安全标准和建议。

安全标准定义规则、这些规则的符合性条件，以及满足条件时要执行的操作（效果）。 Defender for Cloud 根据 Azure 订阅、Amazon Web Services (AWS) 帐户和 Google Cloud Platform (GCP) 项目中启用的安全标准来评估资源和工作负载。根据这些评估，安全建议提供了实际步骤来帮助修正安全问题。

安全标准

Defender for Cloud 中的安全标准来自以下来源：

Microsoft 云安全性基准 (MCSB)：将 Defender for Cloud 载入管理组或订阅时，会默认应用 MCSB 标准。安全功能分数基于一些 MCSB 建议的评估。
法规符合性标准：启用一个或多个Defender for Cloud 计划时，可以从各种预定义的法规合规性计划中添加标准。
自定义标准：可以在 Defender for Cloud 中创建自定义安全标准，然后根据需要向这些自定义标准添加内置和自定义建议。

Defender for Cloud 中的安全标准基于 Azure Policy 举措或 Defender for Cloud 的本机平台。目前，Azure 标准是基于 Azure Policy 的。 AWS 和 GCP 标准基于 Defender for Cloud。

Defender for Cloud 中的安全标准简化了 Azure Policy 的复杂性。大多数情况下，可以直接使用 Defender for Cloud 门户中的安全标准和建议，而无需直接配置 Azure Policy。

使用安全标准

下面是可以使用 Defender for Cloud 中的安全标准执行的操作：

修改订阅的内置 MCSB：启用 Defender for Cloud 时，会自动将 MCSB 分配给所有 Defender for Cloud 注册订阅。
添加法规合规性标准：如果启用了一个或多个付费计划，则可以分配用于评估 Azure、AWS 和 GCP 资源的内置合规性标准。详细了解如何分配法规标准。
添加自定义标准：如果至少启用了一个付费 Defender 计划，可以在 Defender for Cloud 门户中定义新的 Azure 标准或 AWS/GCP 标准。然后，可以向这些标准添加建议。

使用自定义标准

自定义标准会与“法规合规性”仪表板中的内置标准一起显示。

从针对自定义标准的评估派生的建议与内置标准的建议一起出现。自定义标准可以包含内置建议和自定义建议。

安全建议

Defender for Cloud 根据定义的安全标准定期持续地分析和评估受保护资源的安全状态，以确定潜在的安全配置错误和弱点。然后，Defender for Cloud 会根据评估结果提供建议。

每项建议都提供以下信息：

问题的简短说明
实施建议的修正步骤
受影响的资源
风险级别
风险因素
攻击路径

Defender for Cloud 中的每个建议都有一个关联的风险级别，这些风险级别表示环境中存在安全漏洞的攻击性和影响程度。风险评估引擎考虑了 Internet 暴露、数据敏感度、横向移动可能性和攻击路径修正等因素。可以根据建议的风险级别确定建议的优先级。

重要

风险优先级不会影响安全功能分数。

示例

MCSB 标准是一项包含多个合规性控制措施的 Azure Policy 计划。其中一项控制措施是“存储帐户应使用虚拟网络规则限制网络访问”。

当 Defender for Cloud 持续评估和查找不符合此控制的资源时，它会将资源标记为不合规，并触发建议。在这种情况下，指导是强化不受虚拟网络规则保护的 Microsoft Azure 存储帐户。

自定义建议

拥有 Azure 订阅的所有客户都可以基于 Azure Policy 创建自定义建议。使用 Azure Policy 可创建策略定义，将其分配给策略计划，并将该计划和策略合并到 Defender for Cloud 中。

基于 Kusto 查询语言 (KQL) 的自定义建议适用于所有云，但需要启用 Defender CSPM 计划。使用这些建议，可以指定唯一的名称、说明、修正步骤、严重性，以及应将建议分配到的标准。使用 KQL 添加建议逻辑。查询编辑器提供了一个内置查询模板，可以根据需要进行调整，也可以从头开始编写 KQL 查询。

有关详细信息，请参阅在 Microsoft Defender for Cloud 中创建自定义安全标准和建议。

后续步骤

详细了解法规合规性标准、MCSB，以及改进法规合规性。
详细了解安全建议。