--- layout: Conceptual title: Microsoft Defender for Cloud 中的安全策略 - Microsoft Defender for Cloud | Azure Docs canonicalUrl: https://docs.azure.cn/zh-cn/defender-for-cloud/security-policy-concept schema: Conceptual adobe-target: true author: Johnnytechn breadcrumb_path: /bread/toc.json depot_name: Azure.mooncake-docs description: 了解如何通过 Microsoft Defender for Cloud 的安全策略、标准和建议改进云安全状况。 document_id: 2afad029-2109-4ba0-a8be-47170861d573 document_version_independent_id: 7404cdb6-761e-391f-fc2d-9f9bba3d652b git_commit_id: bb9636320a1856898836809c4baf72474e1af132 gitcommit: https://github.com/MicrosoftDocs/mc-docs-pr/blob/bb9636320a1856898836809c4baf72474e1af132/articles/defender-for-cloud/security-policy-concept.md locale: zh-cn manager: raynew ms.author: v-johya ms.date: 2025-12-04T00:00:00.0000000Z ms.service: defender-for-cloud ms.topic: concept-article original_content_git_url: https://github.com/MicrosoftDocs/mc-docs-pr/blob/live/articles/defender-for-cloud/security-policy-concept.md recommendations: false site_name: DocsAzureCN uhfHeaderId: mooncake updated_at: 2026-03-05T13:25:00.0000000Z ms.translationtype: MT ms.contentlocale: zh-cn loc_version: 2025-12-05T09:43:45.9996167Z loc_source_id: Github-85544329#live loc_file_id: Github-85544329.live.Azure.mooncake-docs.articles/defender-for-cloud/security-policy-concept.md page_type: conceptual toc_rel: toc.json feedback_system: None feedback_product_url: '' feedback_help_link_type: '' feedback_help_link_url: '' word_count: 825 asset_id: defender-for-cloud/security-policy-concept item_type: Content cmProducts: - https://authoring-docs-microsoft.poolparty.biz/devrel/8e3fdb08-a059-4277-98f6-c0e21e940707 spProducts: - https://authoring-docs-microsoft.poolparty.biz/devrel/88291526-9c74-4f87-878c-de0a82134421 platformId: 712145e0-437d-7c95-28d3-9e0260a09ccf --- # Microsoft Defender for Cloud 中的安全策略 - Microsoft Defender for Cloud | Azure Docs 重要 注意:根据**世纪互联发布的公告**,[2026 年 8 月 18](https://aka.ms/mdcretirementinchina) 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。 Microsoft Defender for Cloud 中的安全策略定义如何在 Azure 中评估云资源的安全性。 策略指定 Defender for Cloud 用于评估资源配置并识别潜在安全风险的标准、控制和条件。 每个策略都包含 [安全标准](concept-regulatory-compliance-standards),这些标准定义应用于环境的控制和评估逻辑。 Defender for Cloud 会根据这些标准持续评估资源。 当资源不满足定义的控件时,Defender for Cloud 会生成一个安全建议,该建议描述问题以及修正问题所需的作。 这使 Defender for Cloud 能够持续评估资源并提高组织的安全状况。 ## 安全标准 Defender for Cloud 中的安全策略可以包括多种标准: - **安全基准** - 内置基线,例如 [Microsoft云安全基准(MCSB)](concept-regulatory-compliance) 和定义基本最佳做法的云提供商基准。 - **法规合规性标准** - 启用 [Defender for Cloud 计划](defender-for-cloud-introduction)时可用的行业和合规性计划的框架。 - **自定义标准** - 组织定义的标准,其中包括内置或 自定义建议 ,使 Defender for Cloud 评估与内部安全策略保持一致。 详细了解 [Defender for Cloud 中的安全标准](concept-regulatory-compliance-standards)。 ## 安全建议 安全建议是根据安全标准评估生成的可作见解。 每个建议包括: - 问题的简短说明 - 修正步骤 - 受影响的资源 - 严重性和风险因素 - 攻击路径上下文(如果可用) Defender for Cloud 风险模型根据暴露、数据敏感度、横向移动潜力和可利用性确定建议的优先级。 ### 自定义建议 可以使用 [Kusto 查询语言(KQL)](/zh-cn/data-explorer/kusto/query)创建自定义建议来定义自己的评估逻辑。 自定义建议是在自定义标准中创建的,还可以根据需要链接到其他标准。 每个建议都包含查询逻辑、修正步骤、严重性和适用的资源类型。 创建后,自定义建议将与内置建议一起显示在法规合规性仪表板中,并有助于您对总体安全状况的评估。 详细了解 [如何创建自定义建议](create-custom-recommendations)。 ## 示例 MCSB 包含多个定义预期安全配置的控件。 其中一项控制措施是“存储帐户应使用虚拟网络规则限制网络访问”。 Defender for Cloud 会持续评估资源。 如果发现任何内容不符合此控件,则会将其标记为不符合并触发建议。 在这种情况下,指导意见是强化未受虚拟网络规则保护的 Azure 存储帐户。