重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 中的安全策略定义如何在 Azure 中评估云资源的安全性。 策略指定 Defender for Cloud 用于评估资源配置并识别潜在安全风险的标准、控制和条件。
每个策略都包含 安全标准,这些标准定义应用于环境的控制和评估逻辑。 Defender for Cloud 会根据这些标准持续评估资源。 当资源不满足定义的控件时,Defender for Cloud 会生成一个安全建议,该建议描述问题以及修正问题所需的作。
这使 Defender for Cloud 能够持续评估资源并提高组织的安全状况。
安全标准
Defender for Cloud 中的安全策略可以包括多种标准:
安全基准 - 内置基线,例如 Microsoft云安全基准(MCSB) 和定义基本最佳做法的云提供商基准。
法规合规性标准 - 启用 Defender for Cloud 计划时可用的行业和合规性计划的框架。
自定义标准 - 组织定义的标准,其中包括内置或 自定义建议 ,使 Defender for Cloud 评估与内部安全策略保持一致。
详细了解 Defender for Cloud 中的安全标准。
安全建议
安全建议是根据安全标准评估生成的可作见解。 每个建议包括:
- 问题的简短说明
- 修正步骤
- 受影响的资源
- 严重性和风险因素
- 攻击路径上下文(如果可用)
Defender for Cloud 风险模型根据暴露、数据敏感度、横向移动潜力和可利用性确定建议的优先级。
自定义建议
可以使用 Kusto 查询语言(KQL)创建自定义建议来定义自己的评估逻辑。
自定义建议是在自定义标准中创建的,还可以根据需要链接到其他标准。
每个建议都包含查询逻辑、修正步骤、严重性和适用的资源类型。
创建后,自定义建议将与内置建议一起显示在法规合规性仪表板中,并有助于您对总体安全状况的评估。
详细了解 如何创建自定义建议。
示例
MCSB 包含多个定义预期安全配置的控件。 其中一项控制措施是“存储帐户应使用虚拟网络规则限制网络访问”。
Defender for Cloud 会持续评估资源。 如果发现任何内容不符合此控件,则会将其标记为不符合并触发建议。 在这种情况下,指导意见是强化未受虚拟网络规则保护的 Azure 存储帐户。
后续步骤
- 详细了解 安全标准 和 MCSB。
- 了解如何 查看安全建议。
- 了解如何为云环境 分配和管理标准 。
- 在 “法规合规性”仪表板中监视和改进合规性状况。