查看安全建议

本主题说明如何查看和了解 Azure 安全中心内的建议,以帮助你保护 Azure 资源。

监视建议

安全中心将分析资源的安全状态,以识别潜在的漏洞。

  1. 在安全中心的菜单中,打开“建议”页,查看适用于你的环境的建议。 建议会被分组到各项安全控制中。

    按安全控制分组的建议。

  2. 若要查找特定于资源类型、严重性、环境或其他对你很重要的条件的建议,请使用建议列表上方的可选筛选器。

    用于优化 Azure 安全中心建议列表的筛选器。

  3. 展开一项控制并选择特定的建议,以查看建议详细信息页。

    建议详细信息页。

    该页面包括:

    1. 对于支持的建议,顶部工具栏将显示以下任意或所有按钮:

      • “查看策略定义”,可直接转到“Azure Policy”条目以查看基础策略。
      • “打开查询”- 所有建议都提供使用 Azure Resource Graph 浏览器查看受影响资源相关详细信息的选项。
    2. “严重性指标”。

    3. “刷新间隔”(如果相关)。

    4. “描述”- 安全问题简述。

    5. 详细信息页还包括相关建议表(如果相关):

      关系类型包括:

      • 必备项 - 必须在选定建议之前完成的建议
      • 替代项 - 可提供其他方式来实现选定建议目标的其他建议
      • 依赖项 - 选定建议是其必备项的建议

      对于每条相关建议,“受影响的资源”列中会显示不正常资源的数量。

      提示

      如果相关建议为灰显,则其依赖项尚未完成,因此不可用。

    6. 修正步骤 - 修正受影响资源的安全问题时所需的手动步骤的说明。 对于带有“修复”选项的建议,可以先选择“查看修正逻辑”,然后再为资源应用建议的修补程序 。

    7. 受影响的资源 - 资源会分组到不同的选项卡中:

      • 正常资源 - 相关的资源,这些资源要么未受影响,要么已经修正了问题。

      • 不正常的资源 - 已标识的问题仍会影响的资源。

      • 已删除 - 在评估周期之间删除的资源(由新鲜度间隔定义)。

      • 不适用的资源 - 建议无法为其提供明确答案的资源。 “不适用”选项卡还会为每个资源提供原因。

        不适用的资源及其原因。

    8. 用于修正建议或触发逻辑应用的操作按钮。

在 Azure Resource Graph 浏览器 (ARG) 中查看建议数据

建议详细信息页上的工具栏包含一个“打开查询”按钮,可用于在 Azure Resource Graph (ARG)(一项 Azure 服务,可用于在多个订阅中查询安全中心的安全状态数据)中浏览详细信息。

ARG 旨在提高资源探索的效率,能够通过强大的筛选、分组和排序功能跨云环境进行大规模查询。 这是以编程方式或从 Azure 门户中查询 Azure 订阅中的信息的一种快速且有效的方式。

使用 Kusto 查询语言 (KQL),可以交叉引用 ASC 数据与其他资源属性。

例如,此建议详细信息页显示了十五个受影响的资源:

建议详细信息页上的“打开查询”按钮。

打开基础查询并运行它后,Azure Resource Graph 浏览器会返回与此建议相同的 15 个资源及其运行状况:

Azure Resource Graph 浏览器显示了上一屏幕截图中所示的建议的结果。

预览建议

计算安全分数时不包括标记为“预览”的建议。

仍应尽可能按这些建议修正,以便在预览期结束时,它们会有助于提升评分。

预览建议示例如下:

带有预览标志的建议。

后续步骤

在本文档中,已向你介绍安全中心的安全建议。 如需相关信息: