本文列出了 Microsoft Defender for Cloud 中可能会显示的所有计算安全建议。
环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中 查看适用于资源的建议。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
提示
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅用于基本建议可简化策略管理。
说明:计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。
严重性:低
说明:为了确保每隔 24 小时自动触发缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 详细了解 Windows 的 AssessmentMode 属性:适用于 Linux 的 https://aka.ms/computevm-windowspatchassessmentmode:https://aka.ms/computevm-linuxpatchassessmentmode。
严重性:低
说明:启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,Defender for Cloud 使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 (相关策略:应在计算机中启用用于定义安全应用程序的自适应应用程序控制)。
严重性:高
说明:监视为 Defender for Cloud 自适应应用程序控制进行审核而配置的计算机组上的行为更改。 Defender for Cloud 使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 (相关策略:应更新自适应应用程序控制策略中的允许列表规则)。
严重性:高
虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 有关详细信息,请参阅详细步骤:创建和管理用于 Azure 中 Linux VM 的身份验证的 SSH 密钥。 (相关策略:审核未使用 SSH 密钥进行身份验证的 Linux 计算机)。
严重性:中等
说明:存储敏感数据时,请务必启用自动化帐户变量资产加密。 (相关策略:应对自动化帐户变量进行加密)。
严重性:高
说明:使用 Azure 备份来保护 Azure 虚拟机上的数据。 Azure 备份是一种 Azure 原生且经济高效的数据保护解决方案。 它可创建恢复点,这些恢复点存储在异地冗余的恢复保管库中。 从恢复点还原时,可以还原整个 VM,也可以仅还原特定的文件。 (相关策略:应为虚拟机启用 Azure 备份)。
严重性:低
说明:修复安装了 Docker 的计算机上安全配置设置中的漏洞,使它们免受攻击。 (相关策略:应修正容器安全配置中的漏洞)。
严重性:高
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Azure 流分析中的诊断日志)。
严重性:低
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Batch 帐户中的诊断日志)。
严重性:低
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用事件中心内的诊断日志)。
严重性:低
说明:若要确保在发生安全事件或遭到入侵时,可以重新创建活动线索以进行调查,请启用日志记录。 如果诊断日志不会发送到 Log Analytics 工作区、Azure 存储帐户或 Azure 事件中心,请确保已将诊断设置配置为将平台指标和平台日志发送到相关目标。 若要了解详细信息,请参阅“创建诊断设置以将平台日志和指标发送到不同目标”。 (相关策略:应启用逻辑应用中的诊断日志)。
严重性:低
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用服务总线中的诊断日志)。
严重性:低
说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用虚拟机规模集中的诊断日志)。
严重性:高
说明:在虚拟机规模集上,修复终结点保护健康状况故障,使其免受威胁和漏洞的侵害。 (相关策略:应在虚拟机规模集上安装终结点保护解决方案)。
严重性:低
说明:在虚拟机规模集上安装终结点保护解决方案,以保护它们免受威胁和漏洞的影响。 (相关策略:应在虚拟机规模集上安装终结点保护解决方案)。
严重性:高
说明:Defender for Cloud 已识别出缺少文件完整性监视解决方案的虚拟机。 若要监视服务器上对关键文件、注册表项等的更改,请启用文件完整性监视。 启用文件完整性监视解决方案后,创建数据收集规则以定义要监视的文件。 若要定义规则,或查看具有现有规则的计算机上更改的文件,请转到文件完整性监视管理页。 (无相关策略)
严重性:高
说明:在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机规模集。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机规模集。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如应启用 Windows 攻击防护。 (相关策略:虚拟机应有来宾配置扩展)。
严重性:中等
说明:在虚拟机上安装终结点保护解决方案,以保护其免受威胁和漏洞的侵害。 (相关策略:监视 Azure 安全中心中缺少的终结点保护)。
严重性:高
说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 对所有这些数据进行加密。 访问托管磁盘加密选项概述,以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 (相关策略:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost)。
替换旧建议“虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流”。 通过此建议,可以审核 VM 加密符合性。
严重性:高
说明:为了帮助减少在内核模式下执行恶意或未经授权的代码,请在支持的 Linux 虚拟机上强制实施内核模块签名验证。 内核模块签名验证可确保只允许运行受信任的内核模块。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)
严重性:低
说明:启用安全启动后,所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 (无相关策略)
严重性:低
说明:若要防止安装基于恶意软件的 rootkit 和启动工具包,请在受支持的 Linux 虚拟机上启用安全启动。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)
严重性:低
说明:Defender for Cloud 使用 Log Analytics 代理(也称为 OMS)从 Azure Arc 计算机收集安全事件。 若要在所有 Azure Arc 计算机上部署代理,请遵循修正步骤。 (无相关策略)
严重性:高
随着在 Defender for Servers 中逐步淘汰 AMA 和 MMA 的使用,依赖这些代理的建议将被删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月
说明:Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到工作区以用于分析。 如果 VM 由 Azure 托管服务(如 Azure Kubernetes 服务或 Azure Service Fabric)使用,那么也需要执行该过程。 无法为 Azure 虚拟机规模集配置代理的自动预配。 若要在虚拟机规模集(包括 Azure Kubernetes 服务和 Azure Service Fabric 等 Azure 托管服务使用的规模集)上部署代理,请按照修正步骤中的过程操作。 (相关策略:应在虚拟机规模集上安装日志分析代理,用于 Azure 安全中心监视)。
随着在 Defender for Servers 中逐步淘汰 AMA 和 MMA 的使用,依赖这些代理的建议将被删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月
严重性:高
说明:Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 如果 VM 由 Azure 托管服务(如 Azure Kubernetes 服务或 Azure Service Fabric)使用,则也需要此代理。 建议配置自动预配来自动部署代理。 如果你选择不使用自动预配,请使用修正步骤中的说明将代理手动部署到 VM。 (相关策略:应在虚拟机上安装日志分析代理,用于 Azure 安全中心监视)。
随着在 Defender for Servers 中逐步淘汰 AMA 和 MMA 的使用,依赖这些代理的建议将被删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月
严重性:高
说明:Defender for Cloud 使用 Log Analytics 代理(也称为 MMA)从 Azure Arc 计算机收集安全事件。 若要在所有 Azure Arc 计算机上部署代理,请遵循修正步骤。 (无相关策略)
严重性:高
随着在 Defender for Servers 中逐步淘汰 AMA 和 MMA 的使用,依赖这些代理的建议将被删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月
说明:修复计算机上安全配置的漏洞,以保护其免受攻击。 (相关策略:应修正计算机上安全配置中的漏洞)。
此建议可帮助你改善服务器安全状况。 Defender for Cloud 通过提供由 Microsoft Defender 漏洞管理提供支持的安全基线来增强 Center for Internet Security (CIS) 基准。
严重性:低
说明:若要应用安全配置更新并防范漏洞,请重新启动计算机。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)
严重性:低
说明:Defender for Cloud 定期检查连接的计算机,以确保它们正在运行漏洞评估工具。 使用此建议部署漏洞评估解决方案。 (相关策略:应在虚拟机上启用漏洞评估解决方案)。
严重性:中等
说明:解决虚拟机上漏洞评估解决方案的发现。 (相关策略:应在虚拟机上启用漏洞评估解决方案)。
严重性:低
说明:Defender for Cloud 已确定一些对网络安全组中的管理端口过于宽松的入站规则。 启用实时访问控制,以保护 VM 免受基于 Internet 的暴力攻击。 有关详细信息,请参阅了解实时 (JIT) VM 访问。 (相关策略:应通过即时网络访问控制来保护虚拟机的管理端口)。
严重性:高
说明:适用于服务器的 Microsoft Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 可以使用此信息快速修复安全问题,并提高服务器的安全性。
修正此建议将导致对服务器的保护产生费用。 如果此订阅中没有任何服务器,则不会产生任何费用。 如果将来在此订阅中创建任何服务器,它将自动受到保护,届时将开始计费。 有关详细信息,请参阅适用于服务器的 Microsoft Defender 简介。 (相关策略:应启用用于服务器的 Azure Defender)。
严重性:高
说明:在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估仅适用于已启用受信任启动的 Windows 虚拟机。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(无、签名和 EncryptAndSign)。 请设置保护级别,确保节点到节点的所有消息经过加密和数字签名。 (相关策略:Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign)。
严重性:高
说明:只使用 Service Fabric 中的 Azure Active Directory 进行客户端身份验证(相关策略:Service Fabric 群集应只使用 Azure Active Directory 进行客户端身份验证)。
严重性:高
说明:安装缺少的系统安全更新和关键更新,保护 Windows 和 Linux 虚拟机规模集。 (相关策略:应在虚拟机规模集上安装系统更新)。
由于 Azure Monitor 代理 (AMA) 和 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将在 Defender for Servers 中逐步淘汰,因此,依赖于这些代理的建议将删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月。
严重性:高
说明:安装缺少的系统安全性和关键更新来保护 Windows 和 Linux 虚拟机和计算机(相关策略:应在计算机上安装系统更新)。
由于 Azure Monitor 代理 (AMA) 和 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将在 Defender for Servers 中逐步淘汰,因此,依赖于这些代理的建议将删除,如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描,不再依赖于 MMA 或 AMA。
预计弃用时间:2024 年 7 月。
严重性:高
说明:计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 (无相关策略)
严重性:高
说明:使用主机加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 有关详细信息,使用 Azure 门户通过主机加密来启用端到端加密。 (相关策略:虚拟机和虚拟机规模集应启用主机加密)。
严重性:中等
说明:虚拟机(经典)已弃用,这些 VM 应迁移到 Azure 资源管理器。 由于 Azure 资源管理器现具有完整的 IaaS 功能和其他改进,因此我们在 2020 年 2 月 28 日弃用了通过 Azure Service Manager (ASM) 管理 IaaS 虚拟机 (VM) 的功能。 此功能将于 2023 年 3 月 1 日完全停用。
若要查看所有受影响的经典 VM,请确保在“目录 + 订阅”选项卡下选择所有 Azure 订阅。
有关此工具和迁移的可用资源和信息:虚拟机(经典)弃用概述,迁移的分步过程和可用的 Microsoft 资源。有关迁移到 Azure 资源管理器迁移工具的详细信息。使用 PowerShell 迁移到 Azure 资源管理器迁移工具。(相关策略:应将虚拟机迁移到新的 Azure 资源管理器资源)。
严重性:高
说明:通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是 bootkit 或 rootkit 感染所导致的。
这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。
(无相关策略)
严重性:中等
说明:来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 (相关策略:来宾配置扩展应部署到具有系统分配的托管标识的 Azure 虚拟机)
严重性:中等
说明:在虚拟机规模集上,修正漏洞以保护其免受攻击。 (相关策略:应修正虚拟机规模集上安全配置中的漏洞)。
严重性:高
说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 有关 Azure 中不同磁盘加密技术的比较,请参阅托管磁盘加密选项概述。 使用 Azure 磁盘加密来加密所有这些数据。 如果存在以下情况,请忽略此建议:
你正在使用主机加密功能,或者托管磁盘上的服务器端加密满足你的安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密。
(相关策略:应在虚拟机上应用磁盘加密)
严重性:高
说明:在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现测量的启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。
- 受信任启动要求创建新的虚拟机。
- 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
详细了解 Azure 虚拟机的受信任启动。 (无相关策略)
严重性:低
说明:修正 Linux 计算机上的安全配置漏洞,以保护它们免受攻击。 (相关策略:Linux 虚拟机应符合 Azure 安全基线的要求)。
严重性:低
说明:修正 Windows 计算机上的安全配置漏洞,以保护它们免受攻击。 (无相关策略)
严重性:低
说明:Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 (相关策略:审核未启用 Windows Defender 攻击防护的 Windows 计算机)。
严重性:中等
说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 对所有这些数据进行加密。 访问托管磁盘加密选项概述,以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 (相关策略:Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost)。
替换旧建议“虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流”。 通过此建议,可以审核 VM 加密符合性。
严重性:高
说明:为了保护通过 Internet 进行通信的信息的隐私,Web 服务器应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 使用安全证书对计算机之间的连接进行加密来保护网络上的通信。 (相关策略:审核未使用安全通信协议的 Windows Web 服务器)。
严重性:高
注意:作者透過 AI 的協助創作了這篇文章。 深入了解