適用於雲端的 Defender 中的安全策略
適用於雲端的 Microsoft Defender 的安全策略包含安全性標準和建議,可協助您改善雲端安全性狀態。
安全性標準會定義規則、這些規則的合規性條件,以及不符合條件時要採取的動作(效果)。 適用於雲端的 Defender 會根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中啟用的安全性標準來評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟,以協助您補救安全性問題。
安全性標準
適用於雲端的 Defender 的安全性標準來自下列來源:
Microsoft 雲端安全性基準檢驗 (MCSB):當您將 適用於雲端的 Defender 上線至管理群組或訂用帳戶時,預設會套用 MCSB 標準。 您的 安全分數 是根據一些 MCSB 建議的評定。
法規合規性標準:當您啟用一或多個 適用於雲端的 Defender 方案時,您可以從各種預先定義的法規合規性計劃新增標準。
自定義標準:您可以在 適用於雲端的 Defender 中建立自定義安全性標準,然後視需要將這些自定義標準的內建和自定義建議新增至這些自定義標準。
適用於雲端的 Defender 的安全性標準是以 Azure 原則 初始化或 適用於雲端的 Defender 原生平臺為基礎。 目前,Azure 標準是以 Azure 原則 為基礎。 AWS 和 GCP 標準是以 適用於雲端的 Defender 為基礎。
適用於雲端的 Defender的安全性標準可簡化 Azure 原則的複雜性。 在大部分情況下,您可以在 適用於雲端的 Defender 入口網站中直接使用安全性標準和建議,而不需要直接設定 Azure 原則。
使用安全性標準
以下是您可以在 適用於雲端的 Defender 中使用安全性標準的方式:
修改訂用帳戶的內建 MCSB:當您啟用 適用於雲端的 Defender 時,MCSB 會自動指派給所有已註冊的 適用於雲端的 Defender 訂用帳戶。
新增法規合規性標準:如果您已啟用一或多個付費方案,您可以指派內建合規性標準,以評估您的 Azure、AWS 和 GCP 資源。 深入瞭解指派法規標準。
新增自定義標準:如果您已啟用至少一個付費的Defender方案,您可以在適用於雲端的 Defender入口網站中定義新的 Azure 標準或 AWS/GCP 標準。 然後,您可以將建議新增至這些標準。
使用自訂標準
自定義標準會與法規合規性儀錶板中的內建標準一起顯示。
建議 衍生自針對自定義標準的評量,會與來自內建標準的建議一起出現。 自定義標準可以包含內建和自定義建議。
安全性建議
適用於雲端的 Defender 定期並持續分析並評估受保護資源的安全性狀態,以根據定義的安全性標準,找出潛在的安全性設定錯誤和弱點。 適用於雲端的 Defender 然後根據評量結果提供建議。
每個建議都會提供下列資訊:
- 問題的簡短描述
- 實作建議的補救步驟
- 受影響的資源
- 風險等級
- 風險因素
- 攻擊路徑
適用於雲端的 Defender 中的每個建議都有相關聯的風險層級,代表安全性問題的惡意探索和影響程度。 風險評估引擎會考慮因特網暴露、數據敏感度、橫向移動可能性,以及攻擊路徑補救等因素。 您可以根據建議的風險層級來排定建議的優先順序。
重要
風險優先順序 不會影響安全分數。
範例
MCSB標準是 Azure 原則 計劃,其中包含多個合規性控制措施。 其中一個控件是「儲存體 帳戶應該使用虛擬網路規則來限制網路存取」。
當 適用於雲端的 Defender 持續評估並尋找不符合此控件的資源時,會將資源標示為不符合規範,並觸發建議。 在此情況下,指引是強化 Azure 儲存體 未受虛擬網路規則保護的帳戶。
自訂建議
具有 Azure 訂用帳戶的所有客戶都可以根據 Azure 原則 建立自定義建議。 透過 Azure 原則,您可以建立原則定義、將它指派給原則計劃,並將該方案與原則合併至 適用於雲端的 Defender。
以 Kusto 查詢語言 為基礎的自定義建議適用於所有雲端,但需要啟用 Defender CSPM 方案。 透過這些建議,您可以指定唯一的名稱、描述、補救步驟、嚴重性,以及應指派建議的標準。 您可以使用 KQL 新增建議邏輯。 查詢編輯器提供內建的查詢範本,您可以視需要進行調整,也可以從頭開始撰寫 KQL 查詢。
如需詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中建立自定義安全性標準和建議。