Come è possibile sapere quale benchmark o standard usare?
Microsoft Cloud Security Benchmark (MCSB) è il set canonico di raccomandazioni e procedure consigliate per la sicurezza definite da Microsoft, in linea con i framework di controllo di conformità comuni, tra cui CIS Control Framework, NIST SP 800-53 e PCI-DSS. MCSB è un set completo di principi di sicurezza indipendente dal cloud progettati per consigliare le linee guida tecniche più aggiornate per Azure insieme ad altri cloud, ad esempio AWS e GCP. È consigliabile usare MCSB per i clienti che vogliono ottimizzare il comportamento di sicurezza e allineare lo stato di conformità agli standard del settore.
Il Benchmark CIS viene creato da un'entità indipendente, Center for Internet Security (CIS) e contiene raccomandazioni su un subset di servizi di Azure di base. Microsoft collabora con CIS per assicurarsi che le raccomandazioni siano aggiornate con i miglioramenti più recenti in Azure, ma a volte vengono posticipati dati e possono diventare obsoleti. Tuttavia, alcuni clienti preferiscono usare questo obiettivo, la valutazione di terze parti del CIS come baseline di sicurezza iniziale e primaria.
Poiché è stato rilasciato il Microsoft Cloud Security Benchmark, molti clienti hanno scelto di eseguire la migrazione come sostituzione dei benchmark CIS.
Quali standard sono supportati nel dashboard di conformità?
Per impostazione predefinita, il dashboard di conformità alle normative mostra il Microsoft Cloud Security Benchmark. Microsoft Cloud Security Benchmark sono le linee guida create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Altre informazioni sono disponibili in Introduzione a Microsoft Cloud Security Benchmark.
Per tenere traccia della conformità a qualsiasi altro standard, è necessario aggiungerli in modo esplicito al dashboard.
Per un elenco degli standard normativi disponibili, vedere Quali standard di conformità alle normative sono disponibili in Defender per il cloud.
AWS: durante l'onboarding degli utenti, a ogni account AWS sono assegnate le procedure consigliate per la sicurezza di base di AWS. Si tratta delle linee guida specifiche di AWS per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni.
Gli utenti con un bundle Defender abilitato possono abilitare altri standard.
Per aggiungere standard di conformità alle normative negli account AWS:
Passare a Impostazioni ambiente.
Selezionare l'account appropriato.
Selezionare Standard.
Selezionare Aggiungi e scegliere Standard.
Scegliere uno standard dal menu a discesa.
Seleziona Salva.
Altri standard verranno aggiunti al dashboard e inclusi nelle informazioni in Personalizzare il set di standard nel dashboard di conformità alle normative.
Perché alcuni controlli sono disattivati?
Per ogni standard di conformità nel dashboard, è disponibile un elenco dei controlli standard. Per i controlli applicabili, è possibile visualizzare i dettagli delle valutazioni superate e non superate.
Alcuni controlli sono disattivati. A tali controlli non è associata alcuna valutazione di Defender per il cloud. Alcuni potrebbero essere correlati alle procedure o ai processi e quindi non possono essere verificati da Defender per il cloud. Alcuni non hanno ancora criteri o valutazioni automatizzati implementati, ma saranno disponibili in futuro. Alcuni controlli potrebbero essere responsabilità della piattaforma, come illustrato in Responsabilità condivisa nel cloud.
Come è possibile rimuovere uno standard predefinito, ad esempio PCI-DSS, ISO 27001 o SOC2 TSP dal dashboard?
Per personalizzare il dashboard di conformità alle normative e concentrarsi solo sugli standard applicabili all'utente, è possibile rimuovere uno qualsiasi degli standard normativi visualizzati che non sono rilevanti per l'organizzazione. Per rimuovere uno standard, seguire le istruzioni riportate in Rimuovere uno standard dal dashboard.
Sono state apportate le modifiche come consigliato, tuttavia non vengono riportate nel dashboard.
Dopo essere intervenuti per risolvere i consigli, attendere 12 ore per vedere le modifiche ai dati di conformità. Dato che le valutazioni vengono eseguite a intervalli di circa 12 ore, visualizzerai l'effetto sui dati di conformità sarà visibile solo dopo l'esecuzione delle valutazioni.
Quali autorizzazioni sono necessarie per accedere al dashboard di conformità?
Per accedere a tutti i dati di conformità nel tenant, è necessario avere almeno il livello di autorizzazioni di Lettore per l'ambito applicabile del tenant o per tutte le sottoscrizioni pertinenti.
Il set minimo di ruoli per l'accesso al dashboard e la gestione degli standard è Collaboratore ai criteri di risorsa e Amministratore della sicurezza.
Il dashboard di conformità alle normative non viene caricato per l'utente corrente
Per usare il dashboard di conformità alle normative, Defender per il cloud deve essere abilitato a livello di sottoscrizione. Se il dashboard non viene caricato correttamente, provare i passaggi seguenti:
- Cancellare la cache del browser.
- Provare con un browser diverso.
- Provare ad aprire il dashboard da un percorso di rete diverso.
Come è possibile visualizzare un report relativo ai controlli superati e non superati per ogni standard nel dashboard?
Nel dashboard principale è possibile visualizzare un report relativo al passaggio e agli errori dei controlli per (1) i "primi 4" standard di conformità più bassi nel dashboard. Per visualizzare lo stato di tutti i controlli superati/non superati, selezionare (2) Mostra tutto x (dove x è il numero di standard monitorati). Un piano di contesto visualizza lo stato di conformità per ogni standard monitorato.
Come è possibile scaricare un report con dati di conformità in un formato diverso da PDF?
Quando si seleziona Scarica report, selezionare lo standard e il formato (PDF o CSV). Il report risultante rifletterà il set corrente di sottoscrizioni selezionate nel filtro del portale.
- Il report PDF mostra uno stato di riepilogo per lo standard selezionato
- Il report CSV fornisce risultati dettagliati per ogni risorsa, in relazione ai criteri associati a ogni controllo
Attualmente non è disponibile alcun supporto per il download di un report per un criterio personalizzato; solo per gli standard normativi forniti.
Come è possibile creare eccezioni per alcuni dei criteri nel dashboard di conformità alle normative?
Per le raccomandazioni MCSB incluse nel punteggio di sicurezza, è possibile creare esenzioni per una o più risorse direttamente nel portale, come illustrato in Esclusione delle risorse e delle raccomandazioni dal punteggio di sicurezza.
Per altre raccomandazioni, è possibile creare un'esenzione direttamente nella raccomandazione stessa seguendo le istruzioni riportate in Struttura di esenzione dei Criteri di Azure.
Quali piani o licenze di Microsoft Defender sono necessari per usare il dashboard di conformità alle normative?
Se è stato attivato uno dei piani Microsoft Defender (tranne Defender per server (piano 1)) su una qualsiasi delle risorse di Azure, è possibile accedere al dashboard di conformità alle normative di Defender per il cloud e a tutti i suoi dati e funzionalità.
Nota
Per Defender per server si otterrà la conformità alle normative solo per il piano 2. Il piano 1 non include la conformità alle normative.