適用於雲端的 Defender 中的安全性原則
適用於雲端的 Microsoft Defender 中的安全策略包含安全性標準和建議,可協助您改善雲端安全性態勢。
安全性標準會定義規則、這些規則的合規性條件,以及不符合條件時所要採取的動作 (效果)。 適用於雲端的 Defender 會根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中啟用的安全性標準來評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟,以協助您補救安全性問題。
安全性標準
適用於雲端的 Defender 中的安全性標準來自下列來源:
Microsoft 雲端安全性效能評定 (MCSB):當您將雲端帳戶上線至 Defender 時,預設會套用 MCSB 標準。 您的安全分數是根據一些 MCSB 建議的評量。
法規合規性標準:當您啟用一或多個適用於雲端的 Defender 方案時,可以從各種預先定義的法規合規性計劃新增標準。
自訂標準:您可以在適用於雲端的 Defender 中建立自訂安全性標準,然後視需要將內建和自訂建議新增至這些自訂標準。
適用於雲端的 Defender 中的安全性標準是以 Azure 原則倡議或適用於雲端的 Defender 原生平台為基礎。 目前,Azure 標準是以 Azure 原則為基礎。 AWS 和 GCP 標準是以適用於雲端的 Defender 為基礎。
使用安全性標準
以下是您可以在適用於雲端的 Defender 中使用安全性標準的動作:
修改訂用帳戶的內建 MCSB:當您啟用適用於雲端的 Defender 時,MCSB 會自動指派給所有適用於雲端的 Defender 註冊訂用帳戶。 深入瞭解管理 MCSB 標準。
新增法規合規性標準:如果您已啟用一或多個付費方案,則可以指派內建合規性標準,以評估您的 Azure、AWS 和 GCP 資源。 深入了解指派法規標準。
新增自定義標準:如果您已啟用至少一個付費的Defender方案,您可以在適用於雲端的 Defender入口網站中定義新的自定義標準和自定義建議。 然後,您可以將建議新增至這些標準。
自訂標準
自訂標準會與法規合規性儀表板中的內建標準一起顯示。
針對自訂標準衍生自評量的建議,會與來自內建標準的建議一起出現。 自訂標準可以包含內建和自訂建議。
自訂建議
具有 Azure 訂用帳戶的所有客戶都可以根據 Azure 原則 建立自定義建議。 透過 Azure 原則,您可以建立原則定義、將它指派給原則計劃,並將該方案與原則合併至 適用於雲端的 Defender。
根據 Kusto 查詢語言 (KQL) 的自訂建議適用於所有雲端,但需要啟用Defender CSPM方案。 透過這些建議,您可以指定唯一的名稱、描述、補救步驟、嚴重性,以及應指派建議的標準。 您會使用 KQL 新增建議邏輯。 查詢編輯器提供內建的查詢範本,您可以視需要進行調整,也可以從頭開始撰寫 KQL 查詢。
如需詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中建立自定義安全性標準和建議。
安全性建議
適用於雲端的 Defender 會定期且持續分析及評估受保護資源的安全性狀態,以根據定義的安全性標準,找出潛在的安全性設定錯誤和弱點。 然後,適用於雲端的 Defender 會根據評量結果提供建議。
每個建議都會提供下列資訊:
- 問題的簡短描述
- 實作建議的補救步驟
- 受影響的資源
- 風險等級
- 風險因素
- 攻擊路徑
適用於雲端的 Defender 中每個建議都有相關聯的風險層級,代表安全性問題的惡意探索和影響程度。 風險評量引擎會考慮網際網路暴露、資料敏感度、橫向移動可能性,以及攻擊路徑補救等因素。 您可以根據建議的風險層級來排定建議的優先順序。
重要
風險優先順序 不會影響安全分數。
範例
MCSB 標準是包含多個合規性控制的 Azure 原則倡議。 這些控制項其中之一是「儲存體帳戶應該使用虛擬網路規則來限制網路存取。」
當適用於雲端的 Defender 持續評估並尋找不符合此控制項的資源時,會將資源標示為不符合規範,並觸發建議。 在此情況下,指引是強化未受虛擬網路規則保護的 Azure 儲存體帳戶。