Sicherheitsrichtlinien in Defender for Cloud

  • Artikel

Sicherheitsrichtlinien in Microsoft Defender for Cloud bestehen aus Sicherheitsstandards und Empfehlungen, die ihnen helfen, Ihren Cloudsicherheitsstatus zu verbessern.

Sicherheitsstandards: Sicherheitsstandards definieren Regeln, Compliancebedingungen für diese Regeln und Maßnahmen (Effekte), die ausgeführt werden sollen, wenn Bedingungen nicht erfüllt werden. Defender für Cloud bewertet Ressourcen und Workloads anhand der in Ihren Azure-Abonnements aktivierten Sicherheitsstandards, Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekte. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zum Beheben von Sicherheitsproblemen und Verbessern des Sicherheitsstatus.

Sicherheitsstandards

Sicherheitsstandards in Defender für Cloud stammen aus einigen Quellen:

  • Microsoft Cloud Security Benchmark (MCSB):Der MCSB-Standard wird standardmäßig angewendet, wenn Sie Defender für Cloud in eine Verwaltungsgruppe oder ein Abonnement integrieren. Ihre Sicherheitsbewertung basiert auf der Bewertung einiger MCSB-Empfehlungen.

  • Wenn Sie einen oder mehrere Defender für Cloud-Pläne aktivieren, können Sie zusätzlich zu MCSB Standards aus einer Vielzahl von vordefinierten Programmen zur Einhaltung von Vorschriften hinzufügen.

  • Sie können benutzerdefinierte Sicherheitsstandards in Defender für Cloud erstellen und bei Bedarf integrierte und benutzerdefinierte Empfehlungen zu diesen benutzerdefinierten Standards hinzufügen.

Sicherheitsstandards in Defender for Cloud basieren auf Azure Policy-Initiativen oder der für Defender for Cloud nativen Plattform. Derzeit basieren Azure-Standards auf der Azure-Richtlinie. AWS- und GCP-Standards basieren auf Defender für Cloud.

Sicherheitsstandards in Defender for Cloud vereinfachen die Komplexität der Azure-Richtlinie. In den meisten Fällen können Sie direkt mit Sicherheitsstandards und Empfehlungen im Defender for Cloud-Portal arbeiten, ohne Azure-Richtlinien direkt konfigurieren zu müssen.

Arbeiten mit Sicherheitsstandards

Hier erfahren Sie, was Sie mit Sicherheitsstandards in Defender for Cloud tun können:

  • Ändern Sie den integrierten MCSB für das Abonnement - Wenn Sie Defender für Cloud aktivieren, wird der MCSB automatisch allen registrierten Abonnements von Defender for Cloud zugewiesen.

  • Hinzufügen gesetzlicher Compliancestandards - Wenn sie mindestens einen kostenpflichtigen Plan aktiviert haben, können Sie integrierte Compliancestandards zuweisen, mit denen Sie Ihre Azure-, AWS- und GCP-Ressourcen bewerten können. Weitere Informationen zum Zuweisen gesetzlicher Standards

  • Hinzufügen von benutzerdefinierten Standards - Wenn mindestens ein kostenpflichtiger Defender-Plan aktiviert ist, können Sie neue Azure-, AWS- und GCP-Standards im Defender für Cloud-Portal definieren und Ihnen Empfehlungen hinzufügen. Anschließend können Sie diesen Standards Empfehlungen hinzufügen.

Arbeiten mit benutzerdefinierten Standards

Benutzerdefinierte Standards werden zusammen mit integrierten Standards im Compliance-Dashboard angezeigt.

Empfehlungen, die von Bewertungen gegen benutzerdefinierte Standards abgeleitet werden, werden zusammen mit Empfehlungen aus integrierten Standards angezeigt. Benutzerdefinierte Standards können integrierte und benutzerdefinierte Empfehlungen enthalten.

Sicherheitsempfehlungen

Defender for Cloud analysiert und bewertet regelmäßig den Sicherheitsstatus geschützter Ressourcen anhand definierter Sicherheitsstandards, um potenzielle Sicherheitsfehler und Schwachstellen zu identifizieren. Defender für Cloud bietet dann Empfehlungen basierend auf Bewertungsergebnissen.

Jede Empfehlung umfasst die folgenden Informationen:

  • Eine kurze Problembeschreibung
  • Korrekturschritte für die Implementierung der Empfehlung
  • Betroffene Ressourcen
  • Risiko-Level
  • Risikofaktoren
  • Angriffspfade

Jede Empfehlung in Defender für Cloud verfügt über eine zugeordnete Risikostufe, die angibt, wie angreifbar und wirkungsvoll das Sicherheitsproblem in Ihrer Umgebung ist. Das Modul zur Risikobewertung berücksichtigt Faktoren wie die Internet-Exposition, die Sensibilität der Daten, die Möglichkeit von Seitwärtsbewegungen, die Behebung von Angriffswegen und vieles mehr. Sie können Empfehlungen basierend auf ihren Risikostufen priorisieren.

Wichtig

Risikopriorisierung wirkt sich nicht auf die Sicherheitsbewertung aus.

Beispiel

Der MCSB-Standard ist eine Azure Policy-Initiative, die mehrere Compliance-Kontrollen enthält. Eines dieser Steuerelemente lautet „Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken“.

Da Defender für Cloud kontinuierlich Ressourcen prüft und findet, die diese Kontrolle nicht erfüllen, markiert es die Ressourcen als nicht konform und löst eine Empfehlung aus. In diesem Fall besteht die Empfehlung darin, Azure Storage-Konten, die nicht durch virtuelle Netzwerkregeln geschützt sind, zu härten.

Benutzerdefinierte Empfehlungen

Alle Kunden mit Azure-Abonnements können benutzerdefinierte Empfehlungen basierend auf Azure-Richtlinien erstellen. Sie erstellen eine Richtliniendefinition, weisen sie einer Richtlinieninitiative zu und führen diese Initiative und Richtlinie in Defender für Cloud zusammen.

Benutzerdefinierte Empfehlungen, die auf der Kusto Query Language (KQL) basieren, sind für alle Clouds verfügbar, erfordern jedoch die Aktivierung des Defender CSPM-Plans. In benutzerdefinierten Empfehlungen geben Sie einen eindeutigen Namen, eine Beschreibung, Schritte für Korrektur, Schweregrad und die Standards an, denen die Empfehlung zugewiesen werden soll. Sie fügen Empfehlungslogik mit KQL hinzu. Ein einfacher Abfrageeditor bietet eine integrierte Abfragevorlage, die Sie nach Bedarf optimieren können, oder Sie können Ihre KQL-Abfrage von Grund auf neu schreiben.

Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen in Microsoft Defender für Cloud.

Nächste Schritte