Zasady zabezpieczeń w Defender dla Chmury

Zasady zabezpieczeń w Microsoft Defender dla Chmury składają się ze standardów zabezpieczeń i zaleceń, które pomagają poprawić stan zabezpieczeń chmury.

Standardy zabezpieczeń definiują reguły, warunki zgodności dla tych reguł i akcje (efekty) do wykonania, jeśli warunki nie zostaną spełnione. Defender dla Chmury ocenia zasoby i obciążenia pod kątem standardów zabezpieczeń, które są włączone w subskrypcjach platformy Azure, kontach usług Amazon Web Services (AWS) i projektach Google Cloud Platform (GCP). Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki ułatwiające korygowanie problemów z zabezpieczeniami.

Standardy zabezpieczeń

Standardy zabezpieczeń w Defender dla Chmury pochodzą z następujących źródeł:

  • Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB): standard MCSB jest stosowany domyślnie podczas dołączania Defender dla Chmury do grupy zarządzania lub subskrypcji. Wskaźnik bezpieczeństwa jest oparty na ocenie niektórych zaleceń MCSB.

  • Standardy zgodności z przepisami: po włączeniu co najmniej jednego planu Defender dla Chmury można dodać standardy z szerokiej gamy wstępnie zdefiniowanych programów zgodności z przepisami.

  • Standardy niestandardowe: niestandardowe standardy zabezpieczeń można tworzyć w Defender dla Chmury, a następnie dodawać wbudowane i niestandardowe zalecenia do tych niestandardowych standardów zgodnie z potrzebami.

Standardy zabezpieczeń w Defender dla Chmury są oparte na inicjatywach usługi Azure Policylub na platformie natywnej Defender dla Chmury. Obecnie standardy platformy Azure są oparte na usłudze Azure Policy. Standardy platform AWS i GCP są oparte na Defender dla Chmury.

Standardy zabezpieczeń w Defender dla Chmury upraszczają złożoność usługi Azure Policy. W większości przypadków można pracować bezpośrednio ze standardami zabezpieczeń i zaleceniami w portalu Defender dla Chmury bez konieczności bezpośredniego konfigurowania usługi Azure Policy.

Praca ze standardami zabezpieczeń

Oto, co można zrobić ze standardami zabezpieczeń w Defender dla Chmury:

  • Zmodyfikuj wbudowaną subskrypcję MCSB: po włączeniu Defender dla Chmury mcSB jest automatycznie przypisywany do wszystkich Defender dla Chmury zarejestrowanych subskrypcji.

  • Dodaj standardy zgodności z przepisami: jeśli masz włączony co najmniej jeden płatny plan, możesz przypisać wbudowane standardy zgodności, względem których można ocenić zasoby platformy Azure, AWS i GCP. Dowiedz się więcej o przypisywaniu standardów regulacyjnych.

  • Dodaj standardy niestandardowe: jeśli masz włączony co najmniej jeden płatny plan usługi Defender, możesz zdefiniować nowe standardy platformy Azure lub standardy AWS/GCP w portalu Defender dla Chmury. Następnie możesz dodać zalecenia do tych standardów.

Praca ze standardami niestandardowymi

Standardy niestandardowe są wyświetlane wraz z wbudowanymi standardami na pulpicie nawigacyjnym zgodności z przepisami .

Rekomendacje pochodzące z ocen z niestandardowymi standardami są wyświetlane razem z zaleceniami wbudowanymi standardami. Standardy niestandardowe mogą zawierać wbudowane i niestandardowe zalecenia.

Zalecenia dotyczące zabezpieczeń

Defender dla Chmury okresowo i stale analizuje i ocenia stan zabezpieczeń chronionych zasobów przed zdefiniowanymi standardami zabezpieczeń, aby zidentyfikować potencjalne błędy konfiguracji i słabości zabezpieczeń. Defender dla Chmury następnie udostępnia zalecenia na podstawie wyników oceny.

Każde zalecenie zawiera następujące informacje:

  • Krótki opis problemu
  • Kroki korygowania dotyczące implementowania zalecenia
  • Zasoby, których dotyczy problem
  • Poziom ryzyka
  • Czynniki ryzyka
  • Ścieżki ataków

Każde zalecenie w Defender dla Chmury ma skojarzony poziom ryzyka, który reprezentuje sposób wykorzystania i wpływu problemu z zabezpieczeniami w danym środowisku. Aparat oceny ryzyka uwzględnia czynniki, takie jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i korygowanie ścieżki ataku. Rekomendacje można określić według priorytetów na podstawie ich poziomów ryzyka.

Uwaga

Obecnie priorytetyzacja ryzyka jest dostępna w publicznej wersji zapoznawczej i nie ma wpływu na wskaźnik bezpieczeństwa.

Przykład

Standard MCSB to inicjatywa usługi Azure Policy obejmująca wiele mechanizmów kontroli zgodności. Jedną z tych kontrolek jest "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".

Ponieważ Defender dla Chmury stale ocenia i znajduje zasoby, które nie spełniają tej kontroli, oznacza zasoby jako niezgodne i wyzwala zalecenie. W takim przypadku wskazówki dotyczą wzmacniania zabezpieczeń kont usługi Azure Storage, które nie są chronione za pomocą reguł sieci wirtualnej.

Zalecenia niestandardowe

Wszyscy klienci z subskrypcjami platformy Azure mogą tworzyć niestandardowe rekomendacje na podstawie usługi Azure Policy. Usługa Azure Policy umożliwia utworzenie definicji zasad, przypisanie jej do inicjatywy zasad oraz scalenie tej inicjatywy i zasad z Defender dla Chmury.

Zalecenia niestandardowe oparte na język zapytań Kusto (KQL) są dostępne dla wszystkich chmur, ale wymagają włączenia planu CSPM w usłudze Defender. Te zalecenia umożliwiają określenie unikatowej nazwy, opisu, kroków korygowania, ważności i standardów, do których należy przypisać zalecenie. Dodasz logikę rekomendacji za pomocą języka KQL. Edytor zapytań udostępnia wbudowany szablon zapytania, który można dostosować zgodnie z potrzebami lub napisać zapytanie KQL od podstaw.

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń w Microsoft Defender dla Chmury.

Następne kroki