Defender for Cloud 中的安全策略

Microsoft Defender for Cloud 中的安全策略包括有助于改善云安全状况的安全标准和建议。

安全标准定义规则、这些规则的符合性条件,以及满足条件时要执行的操作(效果)。 Defender for Cloud 会根据 Azure 订阅中启用的安全标准对资源和工作负荷进行评估。 根据这些评估,安全建议提供了实际步骤来帮助修正安全问题。

安全标准

Defender for Cloud 中的安全标准来自以下来源:

  • Azure 云安全性基准 (MCSB):将 Defender for Cloud 载入管理组或订阅时,会默认应用 MCSB 标准。 安全功能分数基于一些 MCSB 建议的评估。

  • 法规符合性标准:启用一个或多个Defender for Cloud 计划时,可以从各种预定义的法规合规性计划中添加标准。

  • 自定义标准:可以在 Defender for Cloud 中创建自定义安全标准,然后根据需要向这些自定义标准添加内置和自定义建议。

Defender for Cloud 中的安全标准基于 Azure Policy举措或 Defender for Cloud 的本机平台。 目前,Azure 标准是基于 Azure Policy 的。

Defender for Cloud 中的安全标准简化了 Azure Policy 的复杂性。 大多数情况下,可以直接使用 Defender for Cloud 门户中的安全标准和建议,而无需直接配置 Azure Policy。

使用安全标准

下面是可以使用 Defender for Cloud 中的安全标准执行的操作:

  • 修改订阅的内置 MCSB:启用 Defender for Cloud 时,会自动将 MCSB 分配给所有 Defender for Cloud 注册订阅。

  • 添加法规符合性标准 - 如果启用了一个或多个付费计划,可以分配用于评估 Azure 资源的内置符合性标准。 详细了解如何分配法规标准

  • 添加自定义标准:如果至少启用了一个付费 Defender 计划,可以在 Defender for Cloud 门户中定义新的 Azure 标准 然后,可以向这些标准添加建议。

使用自定义标准

自定义标准会与“法规合规性”仪表板中的内置标准一起显示。

从针对自定义标准的评估派生的建议与内置标准的建议一起出现。 自定义标准可以包含内置建议和自定义建议。

安全建议

Defender for Cloud 根据定义的安全标准定期持续地分析和评估受保护资源的安全状态,以确定潜在的安全配置错误和弱点。 然后,Defender for Cloud 会根据评估结果提供建议。

每项建议都提供以下信息:

  • 问题的简短说明
  • 实施建议的修正步骤
  • 受影响的资源
  • 风险级别
  • 风险因素
  • 攻击路径

Defender for Cloud 中的每个建议都有一个关联的风险级别,这些风险级别表示环境中存在安全漏洞的攻击性和影响程度。 风险评估引擎考虑了 Internet 暴露、数据敏感度、横向移动可能性和攻击路径修正等因素。 可以根据建议的风险级别确定建议的优先级。

示例

MCSB 标准是一项包含多个合规性控制措施的 Azure Policy 计划。 其中一项控制措施是“存储帐户应使用虚拟网络规则限制网络访问”。

当 Defender for Cloud 持续评估和查找不符合此控制的资源时,它会将资源标记为不合规,并触发建议。 在这种情况下,指导是强化不受虚拟网络规则保护的 Microsoft Azure 存储帐户。

自定义建议 (Azure)

若要为 Azure 订阅创建自定义建议,目前需要使用 Azure Policy。

可创建策略定义,将其分配给策略计划,并将该计划和策略合并到 Defender for Cloud 中。 了解详细信息

后续步骤