Hinzufügen benutzerdefinierter Initiativen zu Microsoft Defender for Cloud

  • 7 Minuten

Was sind Sicherheitsrichtlinien und -initiativen?

Microsoft Defender für Cloud wendet Sicherheitsinitiativen auf Ihre Abonnements an. Diese Initiativen enthalten mindestens eine Sicherheitsrichtlinie. Jede dieser Richtlinien führt zu einer Sicherheitsempfehlung für die Verbesserung des Sicherheitsstatus.

Was ist eine Sicherheitsinitiative?

Eine Sicherheitsinitiative ist eine Sammlung mit Azure Policy-Definitionen oder -Regeln, die gruppiert werden, um ein bestimmtes Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen. Sicherheitsinitiativen vereinfachen die Verwaltung Ihrer Richtlinien, indem eine Gruppe von Richtlinienlogisch unter einem einzelnen Element gruppiert wird.

Eine Sicherheitsinitiative definiert die gewünschte Konfiguration Ihrer Workloads und trägt zur Erfüllung unternehmensbezogener oder gesetzlicher Sicherheitsanforderungen bei.

Wie Sicherheitsrichtlinien werden auch Defender für Cloud-Initiativen in Azure Policy erstellt. Sie können Azure Policy nutzen, um Ihre Richtlinien zu verwalten und Initiativen zu erstellen und mehreren Abonnements oder ganze Verwaltungsgruppen zuzuweisen.

Die Standardinitiative, die jedem Abonnement in Microsoft Defender for Cloud automatisch zugewiesen wird, ist die Microsoft-Benchmark für Cloudsicherheit. Bei dieser Benchmark handelt es sich um einen von Microsoft erstellten Satz mit Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.

Defender für Cloud verfügt über die folgenden Optionen für die Arbeit mit Sicherheitsinitiativen und -richtlinien:

  • Anzeigen und Bearbeiten der integrierten Standardinitiative: Wenn Sie Defender for Cloud aktivieren, wird die Initiative namens „Microsoft-Benchmark für Cloudsicherheit“ automatisch allen in Defender für Cloud registrierten Abonnements zugewiesen. Zum Anpassen dieser Initiative können Sie die einzelnen enthaltenen Richtlinien aktivieren bzw. deaktivieren, indem Sie die Parameter einer Richtlinie bearbeiten.
  • Hinzufügen eigener benutzerdefinierter Initiativen: Wenn Sie die auf Ihr Abonnement angewendeten Sicherheitsinitiativen anpassen möchten, können Sie dies in Defender für Cloud durchführen. Sie erhalten dann Empfehlungen, wenn Ihre Computer Ihre erstellten Richtlinien nicht einhalten.
  • Hinzufügen gesetzlicher Compliancestandards als Initiativen: Das Dashboard für die Einhaltung gesetzlicher Bestimmungen von Defender for Cloud zeigt den Status aller Bewertungen in Ihrer Umgebung im Kontext eines bestimmten Standards oder einer bestimmten Verordnung an (z. B. Azure Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) Special Publications (SP) SP 800-53 Rev.4, Customer Security Program (CSP) Call Session Control Function (CSCF) v2020 von Swift).

Beispiel: Integrierte Sicherheitsinitiative

Screenshot: Beispiel des CIS Microsoft Azure Foundations Benchmark

Was ist eine Sicherheitsrichtlinie?

Eine Azure-Richtliniendefinition, die in Azure Policy erstellt wird, ist eine Regel für bestimmte Sicherheitsbedingungen, die Sie steuern möchten. Mit integrierten Definitionen kann beispielsweise gesteuert werden, welche Art von Ressourcen bereitgestellt werden kann, oder es kann die Verwendung von Tags für alle Ressourcen erzwungen werden. Sie können auch Ihre eigenen benutzerdefinierten Richtliniendefinitionen erstellen.

Um diese Richtliniendefinitionen (integriert oder benutzerdefiniert) implementieren zu können, müssen Sie sie zuweisen. Sie können diese Richtlinien über das Azure-Portal, PowerShell oder die Azure CLI zuweisen. Richtlinien können über Azure Policy aktiviert oder deaktiviert werden.

In Azure Policy gibt es unterschiedliche Arten von Richtlinien. Defender for Cloud verwendet hauptsächlich Richtlinien zur Überwachung, mit denen bestimmte Bedingungen und Konfigurationen überprüft werden und anschließend die Konformität gemeldet wird. Außerdem gibt es Richtlinien zur Erzwingung, die zum Anwenden von Sicherheitseinstellungen verwendet werden können.

Beispiel: Integrierte Sicherheitsrichtlinie

Screenshot: Beispiel einer grundlegenden Richtliniendefinition zum Überwachen von VMs ohne verwaltete Datenträger

Defender for Cloud verwendet Azure rollenbasierte Zugriffssteuerung (Azure RBAC), die integrierte Rollen bietet, die Sie Azure-Benutzer*innen, -Gruppen und -Diensten zuweisen können. In Defender für Cloud werden Benutzern nur Informationen zu den Ressourcen angezeigt, auf die sie Zugriff haben. Benutzer*innen wird die Rolle „Besitzer“, „Mitwirkender“ oder „Leser“ für das Abonnement der Ressource zugewiesen.

Es gibt zwei spezifische Rollen für Defender for Cloud:

  1. Sicherheitsadministrator: Verfügt über die gleichen Rechte wie der Sicherheitsleseberechtigte. Kann außerdem die Sicherheitsrichtlinie aktualisieren und Warnungen schließen.
  2. Sicherheitsleseberechtigter: Verfügt über Rechte zum Anzeigen von Defender für Cloud-Elementen, z. B. Empfehlungen, Warnungen, Richtlinien und Integritätsinformationen. Änderungen können nicht vorgenommen werden.

Abbildung mit Erläuterung, welche Sicherheitsrolle Warnungen anzeigen, aktualisieren und schließen kann

Sie können Sicherheitsrichtlinien über das Azure Policy-Portal, die REST-API (Representational State Transfer Application Programming Interface) oder Windows PowerShell bearbeiten.

Der Bildschirm „Sicherheitsrichtlinie“ spiegelt die Aktion der Richtlinien wider, die dem von Ihnen gewählten Abonnement oder der Verwaltungsgruppe zugewiesen sind.

  • Verwenden Sie die oben angegebenen Links, um eine Richtlinienzuweisung zu öffnen, die für das Abonnement bzw. die Verwaltungsgruppe gilt. Mit diesen Links können Sie auf die Zuweisung zuzugreifen und die Richtlinie bearbeiten oder deaktivieren. Wenn Sie beispielsweise feststellen, dass eine bestimmte Richtlinienzuweisung den Endpunktschutz verhindert, können Sie die Richtlinie über den Link bearbeiten oder deaktivieren.
  • In der Liste mit den Richtlinien können Sie die aktive Anwendung der Richtlinie auf Ihr Abonnement oder die Verwaltungsgruppe anzeigen. Die Einstellungen der einzelnen Richtlinien, die für den Bereich gelten, werden berücksichtigt, und das kumulierte Ergebnis der von der Richtlinie durchgeführten Aktionen wird angezeigt. Wenn die Richtlinie beispielsweise in einer Zuweisung deaktiviert wird, aber in einer anderen auf AuditIfNotExist festgelegt ist, wird aufgrund der Kumulation AuditIfNotExist angewandt. Die aktivere Auswirkung hat immer Vorrang.
  • Aufgrund der Richtlinien können sich die folgenden Auswirkungen ergeben: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled.