Sdílet prostřednictvím


Zásady zabezpečení v defenderu pro cloud

Zásady zabezpečení v programu Microsoft Defender for Cloud se skládají ze standardů zabezpečení a doporučení, která pomáhají zlepšit stav zabezpečení cloudu.

Standardy zabezpečení definují pravidla, podmínky dodržování předpisů pro tato pravidla a akce (účinky), které se mají provést, pokud nejsou splněny podmínky. Defender for Cloud vyhodnocuje prostředky a úlohy podle standardů zabezpečení povolených v předplatných Azure, účtech Amazon Web Services (AWS) a projektech GCP (Google Cloud Platform). Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky, které vám pomůžou napravit problémy se zabezpečením.

Standardy zabezpečení

Standardy zabezpečení v Defenderu pro cloud pocházejí z těchto zdrojů:

  • Srovnávací test cloudového zabezpečení Microsoftu (MCSB): Standard MCSB se ve výchozím nastavení použije při onboardingu cloudových účtů do Defenderu. Vaše skóre zabezpečení vychází z posouzení některých doporučení MCSB.

  • Standardy dodržování právních předpisů: Když povolíte jeden nebo více plánů Defenderu pro cloud, můžete přidat standardy z široké škály předdefinovaných programů dodržování právních předpisů.

  • Vlastní standardy: V Programu Defender for Cloud můžete vytvořit vlastní standardy zabezpečení a podle potřeby do nich přidat předdefinovaná a vlastní doporučení.

Standardy zabezpečení v defenderu pro cloud jsou založené na iniciativách Azure Policy nebo na nativní platformě Defenderu pro cloud. V současné době jsou standardy Azure založené na službě Azure Policy. Standardy AWS a GCP jsou založené na defenderu pro cloud.

Práce se standardy zabezpečení

Tady je postup, který můžete dělat se standardy zabezpečení v defenderu pro cloud:

Vlastní standardy

Vlastní standardy se zobrazují společně s integrovanými standardy na řídicím panelu dodržování právních předpisů .

Doporučení odvozená z posouzení proti vlastním standardům se zobrazují společně s doporučeními z předdefinovaných standardů. Vlastní standardy můžou obsahovat integrovaná a vlastní doporučení.

Vlastní doporučení

Použití vlastních doporučení založených na dotazovací jazyk Kusto (KQL) je doporučený přístup a je podporovaný pro všechny cloudy, ale vyžaduje povolení plánu CSPM v programu Defender. Pomocí těchto doporučení zadáte jedinečný název, popis, kroky nápravy, závažnost a relevantní standardy. KQL přidáte logiku doporučení. Editor dotazů poskytuje integrovanou šablonu dotazu, kterou můžete upravit, nebo můžete napsat dotaz KQL.

Alternativně můžou všichni zákazníci Azure připojit své vlastní iniciativy Azure Policy jako vlastní doporučení (starší přístup).

Další informace najdete v tématu Vytváření vlastních standardů zabezpečení a doporučení v programu Microsoft Defender for Cloud.

Doporučení zabezpečení

Defender for Cloud pravidelně a nepřetržitě analyzuje a posuzuje stav zabezpečení chráněných prostředků proti definovaným standardům zabezpečení, aby identifikoval potenciální chybné konfigurace zabezpečení a slabá místa. Defender for Cloud pak poskytuje doporučení na základě zjištění posouzení.

Každé doporučení obsahuje následující informace:

  • Stručný popis problému
  • Nápravné kroky pro implementaci doporučení
  • Ovlivněné prostředky
  • Úroveň rizika
  • Rizikové faktory
  • Cesty útoku

Každé doporučení v programu Defender for Cloud má přidruženou úroveň rizika, která představuje způsob zneužití a dopad na problém se zabezpečením ve vašem prostředí. Modul pro posouzení rizik bere v úvahu faktory, jako je vystavení internetu, citlivost dat, možnosti laterálního pohybu a náprava cest útoku. Doporučení můžete určit prioritu na základě jejich úrovní rizik.

Důležité

Stanovení priority rizika nemá vliv na skóre zabezpečení.

Příklad

Standard MCSB je iniciativa Azure Policy, která zahrnuje více kontrolních mechanismů dodržování předpisů. Jedním z těchto ovládacích prvků je "Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě".

Defender for Cloud průběžně vyhodnocuje prostředky. Pokud najde nějakou, která tuto kontrolu nevyhovuje, označí je jako nedodržující předpisy a aktivuje doporučení. V tomto případě jsou pokyny k posílení zabezpečení účtů Azure Storage, které nejsou chráněné pravidly virtuální sítě.

Další kroky