Egyéni biztonsági szabványok és javaslatok létrehozása Felhőhöz készült Microsoft Defender

  • Cikk

Az Felhőhöz készült Microsoft Defender biztonsági javaslatai segítenek a biztonsági helyzet javításában és megerősítésében. Javaslatok az Azure-előfizetések, AWS-fiókok és Felhőhöz készült Defender engedélyezett GCP-projektek biztonsági szabványainak felmérésén alapulnak.

Ez a cikk a következőket ismerteti:

  • Hozzon létre egyéni javaslatokat az összes felhőhöz (Azure, AWS és GCP) egy KQL-lekérdezéssel.
  • Egyéni javaslatok hozzárendelése egy egyéni biztonsági szabványhoz.

Előkészületek

  • Új biztonsági szabvány létrehozásához tulajdonosi engedélyekre van szüksége az előfizetéshez.
  • Egyéni javaslatok létrehozásához biztonsági Rendszergazda engedélyekre van szüksége.
  • Ha egyéni javaslatokat szeretne létrehozni a KQL alapján, engedélyeznie kell a Defender CSPM-csomagot . Minden ügyfél létrehozhat egyéni javaslatokat az Azure Policy alapján.
  • Egyéni javaslatokért tekintse át az Azure-felhők támogatását.

Javasoljuk, hogy tekintse meg a Felhőhöz készült Defender ezen epizódját a területen, hogy többet tudjon meg a funkcióról, és feltárja a KQL-lekérdezések létrehozását.

Egyéni javaslat létrehozása

Egyéni javaslatokat hozhat létre, beleértve a szervizelési lépéseket, a súlyosságot és azokat a szabványokat, amelyekhez a javaslatot hozzá kell rendelni. A KQL-vel javaslati logikát adhat hozzá. Használhat egy egyszerű lekérdezésszerkesztőt beépített lekérdezéssablonnal, amelyet igény szerint módosíthat, vagy a KQL-lekérdezést az alapoktól is megírhatja.

  1. A Felhőhöz készült Defender portál >környezeti beállításai között válassza ki a megfelelő hatókört.

  2. Válassza a Biztonsági szabályzatok>+ Egyéni javaslat létrehozása>lehetőséget.

  3. A Javaslat részletei között adja meg a javaslat részleteit (például: név, súlyosság), és válassza ki azokat a szabványokat, amelyekre alkalmazni szeretné a javaslatot.

    Képernyőkép a javaslat leírási részleteinek kitöltéséről.

  4. Válassza a Tovább lehetőséget.

  5. A Javaslat lekérdezésben írjon egy KQL-lekérdezést, vagy válassza a Lekérdezésszerkesztő megnyitása lehetőséget a lekérdezés strukturálásához. Ha a lekérdezésszerkesztőt szeretné használni, kövesse az alábbi utasításokat.

  6. Miután elkészült a lekérdezés, válassza a Tovább gombot.

  7. A Szabványok területen válassza ki azokat az egyéni szabványokat, amelyekhez hozzá szeretné adni az egyéni javaslatot.

  8. a Véleményezés és létrehozás területen tekintse át a javaslatok részleteit.

    Képernyőkép arról, hogy hol tekintheti át a javaslat részleteit.

A lekérdezésszerkesztő használata

Javasoljuk, hogy a lekérdezésszerkesztővel hozzon létre javaslati lekérdezést.

  • A szerkesztő használata segít a lekérdezés összeállításában és tesztelésében, mielőtt elkezdené használni.
  • Válassza a Hogyan kérhet segítséget a lekérdezés strukturálásához, valamint további utasításokat és hivatkozásokat.
  • A szerkesztő példákat tartalmaz a beépített javaslati lekérdezésekre, amelyekkel saját lekérdezést hozhat létre. Az adatok ugyanabban a struktúrában jelennek meg, mint az API-ban.

  1. a lekérdezésszerkesztőben válassza az Új lekérdezés lehetőséget a lekérdezés létrehozásához

  2. Az első lépésekhez használja a példa lekérdezéssablont az utasításaival, vagy válasszon ki egy beépített javaslati lekérdezést.

    Képernyőkép a lekérdezésszerkesztő használatáról.

  3. Válassza a Lekérdezés futtatása lehetőséget a létrehozott lekérdezés teszteléséhez.

  4. Ha a lekérdezés elkészült, vágja ki és illessze be a szerkesztőből a Javaslatok lekérdezéspanelre.

Egyéni szabvány létrehozása

Az egyéni javaslatok egy vagy több egyéni szabványhoz rendelhetők hozzá.

  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Felhőhöz készült Microsoft Defender> Környezet beállításaihoz.

  3. Válassza ki a megfelelő hatókört.

  4. Válassza a Biztonsági szabályzatok>+ Standard létrehozása>lehetőséget.

  5. A Javaslatok válassza ki azokat a javaslatokat, amelyeket hozzá szeretne adni az egyéni szabványhoz. Az Azure-előfizetések esetében a forrás is látható.

    Képernyőkép az egyéni szabványhoz választható javaslatok listájáról.

  6. Válassza a Létrehozás lehetőséget.

Egyéni javaslatok létrehozása és továbbfejlesztése az Azure Policyvel (örökölt)

Az Azure-előfizetések esetében egyéni javaslatokat és szabványokat hozhat létre, és továbbfejlesztheti őket az Azure Policy használatával. Ez egy régi funkció, és azt javasoljuk, hogy használja az új egyéni javaslatok funkciót.

Egyéni javaslat/szabvány létrehozása (örökölt)

Egyéni javaslatokat és szabványokat hozhat létre a Felhőalapú Defenderben, ha szabályzatdefiníciókat és kezdeményezéseket hoz létre az Azure Policy-ban, és előkészíti őket a Felhőhöz készült Defender.

Ezt a következőképpen teheti meg:

  1. Hozzon létre egy vagy több szabályzatdefiníciót az Azure Policy Portalon, vagy programozott módon.
  2. Hozzon létre egy házirend-kezdeményezést , amely tartalmazza az egyéni szabályzatdefiníciókat.

A kezdeményezés előkészítése egyéni szabványként (örökölt)

Az Azure Policy szabályzat-hozzárendeléseket használ az Azure-erőforrások szabályzathoz vagy kezdeményezéshez való hozzárendeléséhez.

Ha egyéni biztonsági szabványra szeretne kezdeményezést kezdeményezni a Defenderben, az itt látható módon be kell foglalnia "ASC":"true" a kérelem törzsébe. A ASC mező a kezdeményezést Felhőhöz készült Microsoft Defender.

Íme egy példa erre.

Példa egyéni kezdeményezés előkészítésére

  PUT  
  PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policySetDefinitions/{policySetDefinitionName}?api-version=2021-06-01

  Request Body (JSON) 

  {
    "properties": {
      "displayName": "Cost Management",
      "description": "Policies to enforce low cost storage SKUs",
      "metadata": {
        "category": "Cost Management"
        "ASC":"true"
      },
      "parameters": {
        "namePrefix": {
          "type": "String",
          "defaultValue": "myPrefix",
          "metadata": {
            "displayName": "Prefix to enforce on resource names"
          }
        }
      },
      "policyDefinitions": [
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
          "policyDefinitionReferenceId": "Limit_Skus",
          "parameters": {
            "listOfAllowedSKUs": {
              "value": [
                "Standard_GRS",
                "Standard_LRS"
              ]
            }
          }
        },
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
          "policyDefinitionReferenceId": "Resource_Naming",
          "parameters": {
            "prefix": {
              "value": "[parameters('namePrefix')]"
            },
            "suffix": {
              "value": "-LC"
            }
          }
        }
      ]
    }
  }

Példa hozzárendelés eltávolítására

Ez a példa bemutatja, hogyan távolíthat el egy feladatot:

  DELETE   
  https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01

::: zone-end

Egyéni javaslatok továbbfejlesztése (örökölt)

A Felhőhöz készült Microsoft Defender beépített javaslatok olyan részleteket tartalmaznak, mint a súlyossági szintek és a szervizelési utasítások. Ha ilyen típusú információkat szeretne hozzáadni az Azure-hoz készült egyéni javaslatokhoz, használja a REST API-t.

A felvehető információk két típusa:

  • RemediationDescription – Sztring
  • Súlyosság – Enum [Alacsony, Közepes, Magas]

A metaadatokat hozzá kell adni az egyéni kezdeményezés részét képező szabályzat szabályzatdefiníciójához. A "securityCenter" tulajdonságban kell lennie, ahogy az látható:

 "metadata": {
  "securityCenter": {
    "RemediationDescription": "Custom description goes here",
    "Severity": "High"
    },

Íme egy másik példa egy egyéni szabályzatra, beleértve a metaadatok/securityCenter tulajdonságot:

{
"properties": {
"displayName": "Security - ERvNet - AuditRGLock",
"policyType": "Custom",
"mode": "All",
"description": "Audit required resource groups lock",
"metadata": {
  "securityCenter": {
    "RemediationDescription": "Resource Group locks can be set via Azure Portal -> Resource Group -> Locks",
    "Severity": "High"
 }
},
"parameters": {
  "expressRouteLockLevel": {
    "type": "String",
    "metadata": {
      "displayName": "Lock level",
      "description": "Required lock level for ExpressRoute resource groups."
    },
    "allowedValues": [
      "CanNotDelete",
      "ReadOnly"
    ]
  }
},
"policyRule": {
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions/resourceGroups"
  },
  "then": {
    "effect": "auditIfNotExists",
    "details": {
      "type": "Microsoft.Authorization/locks",
      "existenceCondition": {
        "field": "Microsoft.Authorization/locks/level",
        "equals": "[parameters('expressRouteLockLevel')]"
      }
    }
  }
}
}
}

A securityCenter tulajdonság használatára egy másik példát a REST API dokumentációjának ebben a szakaszában talál.

Kapcsolódó tartalom

A Kusto-lekérdezésekkel kapcsolatos további információkért használja az alábbi hivatkozásokat: