Azure 安全中心的安全评分

安全评分简介

Azure 安全中心有两个主要目标:

  • 帮助你了解当前的安全状况
  • 帮助你有效提高安全性

使你能够实现这些目标的安全中心的核心功能是安全功能分数。

安全中心会持续评估资源、订阅和组织的安全问题。 然后,它将所有调查结果汇总成一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。

Azure 门户页面显示的安全功能分数为百分比值,但原值也一目了然:

门户中显示的总体安全分数。

若要提高安全性,请查看安全中心的建议页面,了解提高分数需要采取的有效措施。 每项建议都包含有助于你修正特定问题的说明。

建议会被分组到各项安全控件中。 每个控件都是相关安全建议的逻辑组,反映易受攻击的攻击面。 只有修正控制中针对单个资源的所有建议后,分数才会提高。 若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。

有关详细信息,请参阅下面的如何计算安全功能分数

如何计算安全功能分数

建议页面上清楚地显示了每个安全控制对总体安全评分的贡献。

Azure 安全中心的安全控制及其对安全功能分数的影响

若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。 例如,安全中心针对如何保护管理端口提供了多条建议。 现在必须修正所有建议,才能改变安全评分。

控制的示例分数

应用系统更新安全控制。

在此示例中:

# 名称 说明
1 修正漏洞安全控制 此控制对多个与发现和解决已知漏洞相关的建议进行分组。
2 最高分数 实现控制中的所有建议后可以获得的最高分数。 控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。 可使用最高分值来会审要优先处理的问题。
有关所有控制及其最高分的列表,请参阅安全控制及其建议
3 资源数 有 35 个资源受此控制的影响。
若要了解每个资源可能的贡献份额,请将最高分除以资源数。
对于此示例,6/35=0.1714
每个资源贡献 0.1714 分。
4 当前分数 此控制的当前分数。
当前分数=[每个资源的分数]*[正常运行的资源数]
0.1714 x 5 个正常运行的资源 = 0.86
每个控制都为总分贡献分数。 在此示例中,该控制为当前安全功能总分贡献了 0.86 分。
5 潜在分数增加 控制中可提升的剩余分值。 如果实现此控制中的所有建议,分数将增加 9%。
潜在分数增加=[每个资源的分数]*[运行不正常的资源数]
0.1714 x 30 个运行不正常的资源 = 5.14

计算 - 了解你的分数

指标 公式和示例
安全控制的当前分数
用于计算安全控件分数的公式。

每一个安全控制都计入安全评分。 受控制中的建议影响的每个资源都计入控制的当前分数。 各个控制的当前分数是对该控制中资源状态的度量。
工具提示显示了计算安全控制的当前分数时使用的值
在此示例中,最高分 6 将除以 78,因为这是正常运行的资源和运行不正常的资源的总和。
6/78 = 0.0769
将其乘以正常运行的资源数量 (4) 可得出当前分数:
0.0769 * 4 = 0.31

安全评分
一个订阅

用于计算订阅的安全评分的公式

启用了所有控制的单个订阅的安全评分
在此示例中,单个订阅启用了所有安全控制(可能的最高分为 60 分)。 该分数显示了可能的最高分 60 分中的 28 分,其余 32 分反映在安全控制的“可能增加的分数”数字中。
控制和可能增加的分数的列表
安全评分
多个订阅

用于计算多个订阅的安全评分的公式。

在计算多个订阅的综合得分时,安全中心将加入每个订阅的“权重”。 订阅的相对权重由安全中心基于资源数量等因素来决定。
每个订阅的当前分数的计算方式与单个订阅的计算方式相同,但会按公式所示应用权重。
查看多个订阅时,安全评分会计算所有已启用策略中的所有资源,并将其对每个安全控制的最高分的综合影响进行分组。
启用了所有控制的多个订阅的安全评分
综合得分不是平均值,而是指所有订阅中所有资源状态的计算状况。
同样,在这里,如果转到建议页面并将可能得到的分数相加,你会发现结果是当前分数 (24) 与最高得分 (60) 之差。

安全功能分数计算中包括哪些建议?

只有内置建议才会影响安全评分。

计算安全分数时不包括标记为“预览”的建议。 仍应尽可能按这些建议修正,以便在预览期结束时,它们会有助于提升评分。

预览建议示例如下:

带有预览标志的建议。

提高安全分数

若要提高安全评分,请修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。 有关详细信息,请参阅修正建议

安全控制及其建议

下表列出了 Azure 安全中心的安全控制。 对于每个控制,可以看到为所有资源修正该控制中列出的所有建议后,安全评分可以增加的最高分数。

通过安全中心提供的安全建议集是针对每个组织的环境中的可用资源量身定制的。 可以通过禁用策略来进一步自定义建议。

建议每个组织仔细检查其分配的 Azure Policy 计划。

提示

有关查看和编辑你的计划的详细信息,请参阅使用安全策略

即使安全中心的默认安全计划是基于行业最佳做法和标准的,但在某些情况下,下面列出的内置建议可能并不完全适合你的组织。 因此,有时有必要在不影响安全性的情况下调整默认计划,以确保其与组织自己的策略、行业标准、监管标准和你必须满足的基准保持一致。

安全评分 安全控制和说明 建议

10

启用 MFA

如果只使用密码对用户进行身份验证,则会开放攻击途径。 如果密码较弱或者已在其他位置公开,那么如何确定是该用户在使用用户名和密码登录?
启用 MFA 后,帐户将更安全,并且用户仍然可以通过单一登录 (SSO) 向几乎所有应用程序验证身份。
- 应在对订阅拥有所有者权限的帐户上启用 MFA
- 应在对订阅拥有写入权限的帐户上启用 MFA

8

安全管理端口

暴力攻击以管理端口为目标来获取对 VM 的访问权限。 由于没必要总是打开端口,因此,使用实时网络访问控制、网络安全组和虚拟机端口管理来减少对端口的暴露不失为一种缓解策略。
由于许多 IT 组织不会阻止从其网络出站的 SSH 通信,因此攻击者可以创建加密隧道,允许受感染系统上的 RDP 端口与攻击者命令通信,以便控制服务器。 攻击者可以使用 Windows 远程管理子系统在你的环境中横向移动,并使用盗用的凭据访问网络上的其他资源。
- 面向 Internet 的虚拟机应使用网络安全组进行保护
- 应通过实时网络访问控制来保护虚拟机的管理端口
- 应关闭虚拟机上的管理端口

6

应用系统更新

系统更新使组织能够保持运营效率、减少安全漏洞,并为最终用户提供更稳定的环境。 不应用更新会留下未修补的漏洞,使环境容易受到攻击。 这些漏洞可能会被人利用,导致数据丢失、数据泄露、勒索软件和资源滥用。 若要部署系统更新,可以使用更新管理解决方案来管理虚拟机的修补程序和更新。 更新管理是指控制软件版本的部署和维护的过程。
- Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本
- 应在计算机上解决 Log Analytics 代理运行状况问题
- 应在基于 Linux 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在虚拟机上安装 Log Analytics 代理
- 应在虚拟机规模集上安装 Log Analytics 代理
- 应在基于 Windows 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在计算机上安装监视代理
- 应为云服务角色更新 OS 版本
- 应在虚拟机规模集上安装系统更新
- 应在计算机上安装系统更新
- 应在计算机上安装系统更新(由更新中心提供技术支持)
- 应重启计算机来应用系统更新

6

修正漏洞

漏洞是攻击者可用来破坏资源机密性、可用性或完整性的薄弱环节。 管理漏洞可以减少组织暴露、强化终结点外围应用、提高组织复原能力以及减少资源的受攻击面。 威胁和漏洞管理可显示错误的软件和安全配置,并提供缓解建议。
- 应在虚拟机上启用漏洞评估解决方案
- 应对托管实例启用 Azure Defender for SQL
- 应对 SQL 服务器启用 Azure Defender for SQL
- 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项
- 应只从受信任的注册表中部署容器映像
- 在虚拟机上启用内置漏洞评估解决方案
- 应修正 Azure 容器注册表映像中的漏洞(由 Qualys 提供支持)
- 应修正虚拟机中的漏洞
- 应通过漏洞评估解决方案修正漏洞
- 应修正关于 SQL 数据库的漏洞评估结果
- 应修正关于计算机上 SQL 服务器的漏洞评估结果
- 应对 SQL 托管实例启用漏洞评估
- 应对 SQL Server 启用漏洞评估
- 应在虚拟机上安装漏洞评估解决方案

4

加密传输中的数据

在各组件、位置或程序间传输数据时,数据处于“传输中”状态。 无法保护传输中的数据的组织更容易遭受中间人攻击、窃听和会话劫持。 应使用 SSL/TLS 协议交换数据,并建议使用 VPN。 通过 Internet 在 Azure 虚拟机和本地位置之间发送加密数据时,可以使用虚拟网络网关(例如 Azure VPN 网关)发送加密流量。
- 只能通过 HTTPS 访问 API 应用
- 应为 MySQL 数据库服务器启用“强制 SSL 连接”
- 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”
- 应仅在 API 应用中要求使用 FTPS
- 应仅在函数应用中要求使用 FTPS
- 应仅在 Web 应用中要求使用 FTPS
- 只能通过 HTTPS 访问函数应用
- IoT 设备 - 需要进行 TLS 加密套件升级
- 应仅启用与 Redis 缓存的安全连接
- 应启用到存储帐户的安全传输
- 应将 TLS 更新为 API 应用的最新版本
- 应将 TLS 更新为函数应用的最新版本
- 应将 TLS 更新为 Web 应用的最新版本
- 只能通过 HTTPS 访问 Web 应用程序

4

限制未经授权的网络访问

组织内的终结点提供从虚拟网络到受支持的 Azure 服务的直接连接。 子网中的虚拟机可以与所有资源通信。 若要限制与子网内资源的通信,请创建一个网络安全组并将其关联到子网。 组织可以通过创建入站和出站规则来限制和防范未经授权的流量。
- 应在面向 Internet 的虚拟机上应用自适应网络强化建议
- 应在与虚拟机关联的网络安全组上限制所有网络端口
- 应用程序配置应使用专用链接
- Azure Cache for Redis 应驻留在虚拟网络中
- Azure 事件网格域应使用专用链接
- Azure 事件网格主题应使用专用链接
- Azure 机器学习工作区应使用专用链接
- 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项
- Azure SignalR 服务应使用专用链接
- Azure Spring Cloud 应使用网络注入
- 容器注册表不得允许无限制的网络访问
- 容器注册表应使用专用链接
- 容器应只侦听允许的端口
- CORS 不应允许所有资源都能访问 API 应用
- CORS 不应允许所有资源都能访问函数应用
- CORS 不应允许所有资源都能访问你的 Web 应用程序
- 默认 IP 筛选策略应为“拒绝”
- 应在 Key Vault 上启用防火墙
- 面向 Internet 的虚拟机应使用网络安全组进行保护
- IoT 设备 - 打开设备上的端口
- IoT 设备 - 在其中一个链中找到了宽容防火墙策略
- IoT 设备 - 在输入链中找到了宽容防火墙规则
- IoT 设备 - 在输出链中找到了宽容防火墙规则
- IP 筛选器规则的 IP 范围大
- 应禁用虚拟机上的 IP 转发
- Kubernetes 服务管理 API 服务器应配置为受限访问权限
- 应为 Key Vault 配置专用终结点
- 应为 MariaDB 服务器启用专用终结点
- 应为 MySQL 服务器启用专用终结点
- 应为 PostgreSQL 服务器启用专用终结点
- 应为 MariaDB 服务器禁用公用网络访问
- 应为 MySQL 服务器禁用公用网络访问
- 应为 PostgreSQL 服务器禁用公用网络访问
- 服务应只侦听允许的端口
- 存储帐户应使用专用链接连接
- 存储帐户应使用虚拟网络规则来限制网络访问
- 应限制对主机网络和端口的使用
- 虚拟网络应受 Azure 防火墙保护
- VM 映像生成器模板应使用专用链接

4

启用静态加密

静态加密为已存储的数据提供数据保护。 对静态数据进行的攻击包括试图获得对存储数据的硬件的物理访问权限。 Azure 使用对称加密来加密和解密大量静态数据。 将使用对称加密密钥在将数据写入到存储时对数据进行加密。 该加密密钥还用于解密准备在内存中使用的数据。 必须将密钥存储在实施了基于标识的访问控制和审核策略的安全位置。 Azure 密钥保管库就是这样的安全位置。 如果攻击者获取了加密数据但未获取加密密钥,则攻击者必须破解加密才能访问数据。
- 应加密自动化帐户变量
- Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
- Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密
- 应为 MySQL 服务器启用“创建自己的密钥”数据保护
- 应为 PostgreSQL 服务器启用“创建自己的密钥”数据保护
- 认知服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密
- 容器注册表应使用客户管理的密钥 (CMK) 进行加密
- 应对虚拟机应用磁盘加密
- Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign
- SQL 托管实例应使用客户管理的密钥进行静态数据加密
- SQL Server 应使用客户管理的密钥进行静态数据加密
- 存储帐户应使用客户管理的密钥 (CMK) 进行加密
- 应对 SQL 数据库启用透明数据加密

4

管理访问和权限

安全程序的核心是确保用户具有完成其工作(但仅限于此)所需的访问权限:最小特权访问模型
使用 Azure 基于角色的访问控制 (Azure RBAC) 来创建角色分配,以此控制对资源的访问。 角色分配由三个元素组成:
- 安全主体:用户请求访问的对象
- 角色定义:他们的权限
- 作用域:权限适用于的资源集
- 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项
- 应避免使用特权提升的容器
- 应避免使用共享敏感主机命名空间的容器
- 应从订阅中删除弃用的帐户
- 应从订阅中删除拥有所有者权限的已弃用帐户
- 应从订阅中删除拥有所有者权限的外部帐户
- 应从订阅中删除具有写入权限的外部帐户
- 确保函数应用已启用“客户端证书(传入客户端证书)”
- 完全相同的身份验证凭据
- 应强制对容器使用不可变(只读)根文件系统
- 应强制对容器使用最低权限 Linux 功能
- 应在 API 应用中使用托管标识
- 应在函数应用中使用托管标识
- 应在 Web 应用中使用托管标识
- 应避免特权容器
- 应在 Kubernetes 服务上使用基于角色的访问控制
- 应避免以根用户身份运行容器
- Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证
- 应使用服务主体(而不是管理证书)来保护你的订阅
- 应禁止存储帐户公共访问
- 应向订阅分配多个所有者
- 应限制为只有已知列表才能使用 Pod HostPath 卷装载,以限制来自遭入侵容器的节点访问

4

修正安全配置

配置错误的 IT 资产受到攻击的风险更高。 当部署资产并且必须在截止日期之前完成时,通常会忘记基本的强化措施。 错误的安全配置可能出现在基础结构中的任何级别:从操作系统和网络设备到云资源。
Azure 安全中心会不断将资源的配置与行业标准、法规和基准中的要求进行比较。 配置了对组织而言很重要的相关“合规性包”(标准和基线)后,任何差距都会产生安全建议,其中包括 CCEID 以及对潜在安全影响的说明。
常用包为 Azure 安全基准CIS Azure 基础基准版本 1.1.0
- 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项
- IoT 设备 - 经审核的进程已停止发送事件
- IoT 设备 - 操作系统基线验证失败
- 应在计算机上解决 Log Analytics 代理运行状况问题
- 应在基于 Linux 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在虚拟机上安装 Log Analytics 代理
- 应在虚拟机规模集上安装 Log Analytics 代理
- 应在基于 Windows 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在计算机上安装监视代理
- 应限制替代或禁用容器 AppArmor 配置文件
- 应在 Kubernetes 服务上定义 Pod 安全策略(已弃用)
- 应在 Linux 虚拟机上启用安全引导
- 应证明虚拟机的引导完整性运行状况
- 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展
- 应修正容器安全配置中的漏洞
- 应修正计算机上安全配置中的漏洞
- 应修正虚拟机规模集上安全配置中的漏洞

3

应用自适应应用程序控制

自适应应用程序控制 (AAC) 是一种智能的、自动化的端到端解决方案,可用于控制哪些应用程序可以在 Azure 计算机和非 Azure 计算机上运行。 它还有助于强化计算机免受恶意软件的侵害。
安全中心使用机器学习为一组计算机创建一个已知安全应用程序列表。
这种将已批准的应用程序列入列表的创新方法在不增加管理复杂性的情况下提供了安全优势。
AAC 尤其适用于需要运行一组特定应用程序的专用服务器。
-应在计算机中启用自适应应用程序控制以定义安全应用程序
- 应更新自适应应用程序控制策略中的允许列表规则
- 应在计算机上解决 Log Analytics 代理运行状况问题
- 应在基于 Linux 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在虚拟机上安装 Log Analytics 代理
- 应在基于 Windows 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在计算机上安装监视代理

2

通过 Azure 高级网络解决方案保护应用程序

- 应启用 Azure DDoS 防护标准
- 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项
- 应强制执行容器 CPU 和内存限制
- 应为应用程序网关启用 Web 应用程序防火墙 (WAF)
- 应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)

2

启用终结点保护

为确保终结点免受恶意软件的侵害,行为传感器会从终结点的操作系统收集数据并加以处理,然后将此数据发送到私有云进行分析。 安全分析利用大数据、机器学习和其他来源针对威胁提出响应建议。 例如,Microsoft Defender ATP 使用威胁情报来识别攻击方法并生成安全警报。
安全中心支持以下终结点保护解决方案:Windows Defender、System Center Endpoint Protection、Trend Micro、Symantec v12.1.1.1100、适用于 Windows 的 McAfee v10、适用于 Linux 的 McAfee v10 和适用于 Linux 的 Sophos v9。 如果安全中心检测到以上任一解决方案,则不再显示安装 Endpoint Protection 的建议。
- 应在虚拟机规模集上修正 Endpoint Protection 运行状况故障
- 应在计算机上解决 Endpoint Protection 运行状况问题
- 应在计算机上解决 Endpoint Protection 运行状况问题
- 应在计算机上安装 Endpoint Protection
- 应在虚拟机规模集上安装 Endpoint Protection 解决方案
- 应在服务器上启用文件完整性监视
- 在虚拟机上安装 Endpoint Protection 解决方案
- 在计算机上安装 Endpoint Protection 解决方案
- 应在计算机上解决 Log Analytics 代理运行状况问题
- 应在基于 Linux 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在虚拟机上安装 Log Analytics 代理
- 应在虚拟机规模集上安装 Log Analytics 代理
- 应在基于 Windows 的 Azure Arc 计算机上安装 Log Analytics 代理
- 应在计算机上安装监视代理

1

启用审核和日志记录

日志记录数据可让你深入了解过去的问题,防止潜在的问题,可以提高应用程序的性能,并允许自动执行原本手动执行的操作。
- 控制和管理日志提供有关 Azure 资源管理器操作的信息。
- 数据平面日志提供作为 Azure 资源使用情况的一部分引发的事件的相关信息。
- 已处理的事件提供已处理的分析事件/警报的相关信息。
- 应对 SQL Server 启用审核
- 应启用 Azure Data Lake Store 的诊断日志
- 应启用 Azure 流分析的诊断日志
- 应启用 Batch 帐户的诊断日志
- 应启用 Data Lake Analytics 的诊断日志
- 应启用事件中心的诊断日志
- 应启用 IoT 中心的诊断日志
- 应启用密钥保管库的诊断日志
- 应启用逻辑应用的诊断日志
- 应启用搜索服务的诊断日志
- 应启用服务总线的诊断日志
- 应启用虚拟机规模集的诊断日志
- 应在应用服务中启用诊断日志

0

实现安全最佳做法

新式安全做法“假定突破”网络边界。 因此,此控制中的许多最佳做法都集中在标识管理上。
丢失密钥和凭据是一个常见问题。 Azure 密钥保管库通过加密密钥、.pfx 文件和密码来保护密钥和机密。
虚拟专用网 (VPN) 是访问虚拟机的一种安全方法。 如果 VPN 不可用,请使用复杂的密码和双重身份验证(例如 Azure AD 多重身份验证)。 双重身份验证避开了固有的仅依赖用户名和密码的弱点。
使用强身份验证和授权平台是另一种最佳做法。 组织可以使用联合标识来委派授权标识的管理。 当员工离职,需要撤销其访问权限时,这一点也很重要。
- 最多只能为订阅指定 3 个所有者
- 应限制对具有防火墙和虚拟网络配置的存储帐户的访问
- 应在面向内部的虚拟机上应用自适应网络强化建议
- 应在 SQL 托管实例的高级数据安全设置中启用所有高级威胁防护类型
- 应在 SQL Server 的高级数据安全设置中启用所有高级威胁防护类型
- 应为 SQL Server 预配 Azure Active Directory 管理员
- 应将 SQL Server 的审核保留设置为至少 90 天
- 应对订阅启用 Log Analytics 代理自动预配
- 应为虚拟机启用 Azure 备份
- 应启用高严重性警报的电子邮件通知
- 应启用向订阅所有者发送高严重性警报的电子邮件通知
- 应从订阅中删除拥有读取权限的外部帐户
- 应为 Azure Database for MariaDB 启用异地冗余备份
- 应为 Azure Database for MySQL 启用异地冗余备份
- 应为 Azure Database for PostgreSQL 启用异地冗余备份
- 应在计算机上安装来宾配置扩展
- IoT 设备 - 代理正在发送未充分利用的消息
- 应将 Java 更新为 API 应用的最新版本
- 应将 Java 更新为函数应用的最新版本
- 应将 Java 更新为 Web 应用的最新版本
- Key Vault 密钥应具有到期日期
- Key Vault 机密应具有到期日期
- 密钥保管库应启用清除保护
- 密钥保管库应启用软删除
- 应在对订阅拥有读取权限的帐户上启用 MFA
- 应在 Linux 虚拟机上安装网络流量数据收集代理
- 应在 Windows 虚拟机上安装网络流量数据收集代理
- 应使用网络安全组来保护非面向 Internet 的虚拟机
- 应将 PHP 更新为 API 应用的最新版本
- 应将 PHP 更新为 Web 应用的最新版本
- 应将 Python 更新为 API 应用的最新版本
- 应将 Python 更新为函数应用的最新版本
- 应将 Python 更新为 Web 应用的最新版本
- 应为 API 应用禁用远程调试
- 应为函数应用禁用远程调试
- 应禁用 Web 应用程序的远程调试
- 应将存储帐户迁移到新的 Azure 资源管理器资源
- 子网应与网络安全组关联
- 订阅应有一个联系人电子邮件地址,用于接收安全问题通知
- 存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月
- 应将虚拟机迁移到新的 Azure 资源管理器资源
- Web 应用应该请求一个用于所有传入请求的 SSL 证书
- 应在计算机上启用 Windows Defender 攻击防护

0

启用高级威胁防护

Azure 安全中心的可选 Azure Defender 威胁防护计划为你的环境提供了全面的防御。 当安全中心检测到环境中的任何区域遭到威胁时,会生成警报。 这些警报会描述受影响资源的详细信息、建议的修正步骤,在某些情况下还会提供触发逻辑应用作为响应的选项。
每个 Azure Defender 计划都是单独的可选产品/服务,可以使用此安全控件中的相关建议启用该产品/服务。
详细了解安全中心的威胁防护
- 应启用适用于应用服务的 Azure Defender
- 应启用适用于 Azure SQL 数据库服务器的 Azure Defender
- 应启用适用于容器注册表的 Azure Defender
- 应启用适用于 Key Vault 的 Azure Defender
- 应启用 Azure Defender for Kubernetes
- 应启用适用于服务器的 Azure Defender
- 应启用适用于计算机上的 SQL 服务器的 Azure Defender
- 应启用适用于存储的 Azure Defender

常见问题解答 - 安全分数

如果仅处理某个安全控制四分之三的建议,安全评分是否会变化?

不是。 为单个资源修正所有建议后,安全评分才会变化。 若要获得某个控制的最高分,必须为所有资源修正所有建议。

如果某个建议对我不适用,我在策略中禁用它,我能否达到安全控制的要求,我的安全评分是否会更新?

是的。 如果建议不适用于你的环境,建议禁用它们。 有关如何禁用特定建议的说明,请参阅禁用安全策略

如果某个安全控制为安全评分贡献的分数为零,我应该忽略它吗?

在某些情况下,你会看到某个控制的最高分大于零,但影响为零。 如果通过修复资源增加的分数可忽略不计,则会将其舍入为零。 请勿忽略这些建议,因为它们仍然可以改善安全性。 唯一的例外是“其他最佳做法”控制。 修正这些建议不会提高分数,但会提高整体安全性。

后续步骤

本文介绍了安全分数及包含的安全控件。

如需相关材料,请参阅以下文章: