创建 Microsoft Defender for Cloud 基线

  • 8 分钟

Microsoft Defender for Cloud 为 Azure、本地和其他云中运行的工作负载提供统一的安全管理和高级威胁防护功能。 以下是 Defender for Cloud 建议,如果遵循这些建议,Azure 订阅上将会设置各种安全策略。 这些策略定义了一组推荐用于 Azure 订阅资源的控制措施。

Microsoft Defender for Cloud 安全建议

以下部分介绍了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 Microsoft Defender for Cloud 建议。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤,并使用自己的资源来验证每个安全建议。 注意,“级别 2”选项可能会限制某些功能或活动,因此请仔细考虑你决定执行的安全选项。

启用增强的安全功能 - 级别 2

Microsoft Defender for Cloud 以两种模式提供:无增强的安全功能(免费)和带增强的安全功能。 启用增强的安全性可将免费模式的功能扩展到在私有云和其他公有云中运行的工作负载。 增强的安全性为各种混合云工作负载提供统一的安全管理和威胁防护。 此模式还添加了高级威胁检测功能,如:

  • 内置行为分析和机器学习,以识别攻击和零时差攻击。
  • 访问和应用程序控制,以减小在网络攻击和恶意软件下的曝光面。

具有所有增强的安全功能的 Microsoft Defender for Cloud 提供 Microsoft 安全响应中心随附的威胁检测,并支持部署在以下位置的资源:

  • Azure 虚拟机
  • 虚拟机规模集
  • Azure 应用服务
  • Azure SQL Server
  • Azure 存储

  1. 登录 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单中的“常规”下,选择“入门”。

  3. 选择“升级”选项卡,然后选择要升级的订阅。 “资源”窗格显示要保护的资源,以及每个资源的计费费用。

  4. 选择“升级”按钮。

    Screenshot that shows the getting started with Microsoft Defender for Cloud pane.

查看 Microsoft Defender for Cloud 内置安全策略

若要查看 Azure 订阅的 Microsoft Defender for Cloud 安全策略,请执行以下操作:

  1. 登录 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 选择订阅以打开“策略设置”窗格。

Screenshot that shows the environment settings for Defender for Cloud.

启用的策略定义 Microsoft Defender for Cloud 建议,如以下示例所示:

Screenshot that shows the built-in security policies for Defender for Cloud.

启用 Log Analytics 代理的自动预配 - 级别 1

启用自动预配后,Defender for Cloud 可在所有受支持的 Azure VM 以及任何新建的 VM 中安装 Azure Log Analytics 代理。 强烈建议启用自动预配。

  1. 登录到 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单中的“常规”下,选择“入门”。

  3. 选择“安装代理”选项卡,然后选择要在其中安装代理的订阅。

  4. 选择“安装代理”按钮。

    Screenshot that shows the getting started pane and the Install agents tab.

启用系统更新 - 级别 1

Microsoft Defender for Cloud 每天对 Windows、Linux VM 和计算机进行监视,以找出缺少的操作系统更新。 Defender for Cloud 检索 Windows 更新或 Windows Server Update Services (WSUS) 中的可用安全更新和关键更新的列表。 列表中包含的更新取决于在 Windows 计算机上配置的服务。 Defender for Cloud 还可以在 Linux 系统上检查最新更新。 如果 VM 或计算机缺少系统更新,Defender for Cloud 建议应用系统更新。

  1. 登录 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 选择订阅。

  4. 在左侧菜单中,选择“安全策略”。

  5. 在“默认计划”下,选择订阅或管理组。

  6. 选择 “参数” 选项卡。

  7. 请确保清除“仅显示需要输入或评审的参数”复选框。

    Screenshot that shows the Parameters tab and the checkbox for Only show parameters that need input or review is cleared.

  8. 确保“应在计算机上安装系统更新”是列出的其中一个策略。

    在以下示例中,Microsoft Defender for Cloud 代理尚未部署到 VM 或物理计算机上,因此系统显示“AuditIfNotExists”消息。 AuditIfNotExists 可对匹配 if 条件的资源进行审核。 如果未部署资源,将显示“NotExists”。

    Screenshot that shows the 'System updates should be installed on your machines' parameter.

    如果启用“应在计算机上安装系统更新”,则会出现“审核”。 如果已部署但被禁用,将显示“已禁用”。

  9. 如果更改任何设置,请选择“评审 + 保存”选项卡,然后选择“保存”。

启用安全配置 - 级别 1

Microsoft Defender for Cloud 应用 150 多种建议的规则来监视安全配置。这些规则用于强化 OS。 这些规则与防火墙、审核、密码策略等相关。 如果发现计算机中的某项配置有漏洞,则 Defender for Cloud 会生成安全建议。

  1. 登录到 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 选择订阅。

  4. 在左侧菜单中,选择“安全策略”。

  5. 在“默认计划”下,选择订阅或管理组。

  6. 选择 “参数” 选项卡。

  7. 确保“应修复虚拟机规模集上安全配置中的漏洞”是其中一个策略。

  8. 如果更改任何设置,请选择“评审 + 保存”选项卡,然后选择“保存”。

注意

以下所有标题中带有 (*) 的策略类别均位于“参数”选项卡上。在某些情况下,每个类别都有多个选项。

启用 Endpoint Protection (*) - 级别 1

建议为所有 VM 启用 Endpoint Protection。

启用磁盘加密 (*) - 级别 1

Microsoft Defender for Cloud 建议使用 Azure 磁盘加密(如果有 Windows 或 Linux VM 磁盘)。 使用磁盘加密,可以对 Windows 和 Linux 基础结构即服务 (IaaS) VM 磁盘进行加密。 对于 VM 上的 OS 和数据卷,建议使用加密。

启用网络安全组 (*) - 级别 1

Microsoft Defender for Cloud 建议启用网络安全组 (NSG)。 NSG 包含访问控制列表 (ACL) 规则的列表,这些规则可用于允许或拒绝虚拟网络中 VM 实例的网络通信。 NSG 可以与子网或该子网中的各个 VM 实例相关联。 当 NSG 与子网关联时,ACL 规则将应用于该子网中的所有 VM 实例。 另外,可以通过将 NSG 直接关联到单个 VM,对流向该 VM 的流量进行进一步的限制。

启用 Web 应用程序防火墙 (*) - 级别 1

Microsoft Defender for Cloud 可能会建议你添加来自 Microsoft 合作伙伴的 Web 应用程序防火墙 (WAF) 以保护你的 Web 应用程序。

启用漏洞评估 (*) - 级别 1

Microsoft Defender for Cloud 中的漏洞评估是 Defender for Cloud VM 建议的一部分。 如果 Defender for Cloud 找不到安装在 VM 上的漏洞评估解决方案,它会建议你安装一个。 合作伙伴代理在部署后就会开始向该合作伙伴的管理平台报告漏洞数据。 反过来,合作伙伴的管理平台也会向 Defender for Cloud 提供漏洞和运行状况监视数据。

启用存储加密 (*) - 级别 1

启用存储加密后,会对 Azure Blob 存储和Azure 文件存储中的任何新数据进行加密。

启用 JIT 网络访问 (*) - 级别 1

可以使用实时 (JIT) 网络访问,将入站流量锁定到 Azure VM。 JIT 网络访问可降低遭受攻击的风险,同时支持轻松访问以便在需要时连接到 VM。

启用自适应应用程序控制 (*) - 级别 1

自适应应用程序控制是 Microsoft Defender for Cloud 提供的智能、自动化的端到端已批准应用程序列表解决方案。 可以通过该解决方案来控制能够在 Azure 和非 Azure VM(Windows 和 Linux)上运行的应用程序,这样有很多好处,其中一项是能够增强 VM 对恶意软件的抵抗力。 Defender for Cloud 使用机器学习来分析在 VM 上运行的应用程序。 它通过使用自适应应用程序控制智能来帮助应用特定的审批规则。 该功能大大简化了配置和维护允许的应用程序策略的过程。

启用 SQL 审核和威胁检测 (*) - 级别 1

Microsoft Defender for Cloud 将建议对运行 Azure SQL 的服务器上的所有数据库启用审核和威胁检测。 审核和威胁检测可帮助你保持法规遵从性、了解数据库活动,以及深入了解可能提醒你业务利害关系或疑似安全违规的偏差和异常。

启用 SQL 加密 (*) - 级别 1

Microsoft Defender for Cloud 建议在 Azure 中运行的 SQL 数据库上启用透明数据加密 (TDE)。 TDE 通过加密静态数据库、关联备份和事务日志文件来保护数据,并帮助满足合规性要求。 启用 TDE 不需要对应用程序进行更改。

设置安全联系人电子邮件和电话号码 - 级别 1

Microsoft Defender for Cloud 建议对 Azure 订阅提供安全联系人的详细信息。 如果 Microsoft 安全响应中心发现用户的客户数据被未经授权方访问,Microsoft 会使用该信息联系用户。 Microsoft 安全响应中心会执行 Azure 网络和基础结构的选择安全监视,并接收来自第三方的威胁情报和恶意投诉。

  1. 登录到 Azure 门户。 搜索并选择“成本管理 + 计费”。 根据你的订阅,你可以看到“概述”窗格或“计费范围”窗格。

    • 如果看到“概述”窗格,请继续执行下一步。
    • 如果看到“计费范围”窗格,请选择订阅以转到“概述”窗格。

  2. 在“概述”窗格中,在“设置”下的左侧菜单中,选择“属性”。

  3. 验证显示的联系人信息。 如果需要更新联系人信息,请选择“更新买方”链接,并输入新信息。

  4. 如果更改任何设置,请选择“保存”。

Screenshot that shows the Properties pane with contact information and the Update sold to link selected.

启用“通过电子邮件向我发送警报”- 级别 1

Microsoft Defender for Cloud 建议对 Azure 订阅提供安全联系人的详细信息。

  1. 登录到 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 选择订阅。

  4. 在左侧菜单中的“设置”下选择“电子邮件通知”。

  5. 在“具有以下角色的所有用户”下拉列表中,选择角色,或者在“其他电子邮件地址(用逗号分隔)”中输入电子邮件地址。

  6. 选中“发送具有下列严重性的警报通知”复选框,选择警报严重性,然后选择“保存”。

Screenshot that shows the email notifications settings pane for Microsoft Defender for Cloud.

启用“同时向订阅所有者发送电子邮件”- 级别 1

Microsoft Defender for Cloud 建议对 Azure 订阅提供安全联系人的详细信息。

  1. 在上一部分所述的“电子邮件通知”窗格中,可以添加更多电子邮件地址(用逗号分隔)。

  2. 如果更改任何设置,请在菜单栏中选择“保存”。