Co to są zasady zabezpieczeń, inicjatywy i zalecenia?

Microsoft Defender for Cloud stosuje inicjatywy zabezpieczeń do Twoich subskrypcji. Te inicjatywy zawierają co najmniej jedną zasady zabezpieczeń. Każda z tych zasad powoduje zalecenie dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń. Na tej stronie szczegółowo wyjaśniono każdy z tych pomysłów.

Co to są zasady zabezpieczeń?

Definicja Azure Policy utworzona w Azure Policy jest regułą dotyczącą określonych warunków zabezpieczeń, które mają być kontrolowane. Wbudowane definicje obejmują takie elementy jak kontrolowanie typu zasobów, które można wdrożyć, lub wymuszanie użycia tagów na wszystkich zasobach. Możesz również utworzyć własne definicje zasad niestandardowych.

Aby zaimplementować te definicje zasad (wbudowane lub niestandardowe), należy je przypisać. Dowolną z tych zasad można przypisać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Zasady można wyłączyć lub włączyć z poziomu Azure Policy.

W Azure Policy istnieją różne typy zasad. Usługa Defender for Cloud używa głównie zasad inspekcji, które sprawdzają określone warunki i konfiguracje, a następnie raportuje zgodność. Istnieją również zasady wymuszania, których można użyć do stosowania bezpiecznych ustawień.

Co to jest inicjatywa dotycząca zabezpieczeń?

Inicjatywa dotycząca zabezpieczeń to zbiór definicji Azure Policy lub reguł, które są grupowane razem w celu osiągnięcia określonego celu lub celu. Inicjatywy zabezpieczeń upraszczają zarządzanie zasadami, grupując zestaw zasad logicznie jako pojedynczy element.

Inicjatywa zabezpieczeń definiuje żądaną konfigurację obciążeń i pomaga zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych.

Podobnie jak zasady zabezpieczeń, inicjatywy usługi Defender for Cloud są również tworzone w Azure Policy. Za pomocą Azure Policy można zarządzać zasadami, tworzyć inicjatywy i przypisywać inicjatywy do wielu subskrypcji lub dla całych grup zarządzania.

Domyślna inicjatywa automatycznie przypisana do każdej subskrypcji w Microsoft Defender dla chmury jest Microsoft test porównawczy zabezpieczeń w chmurze. Ten test porównawczy jest Microsoft utworzonym zestawem wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na wspólnych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na mechanizmach kontroli z Centrum zabezpieczeń internetowych (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze. Dowiedz się więcej na temat testu porównawczego zabezpieczeń w chmurze Microsoft.

Usługa Defender for Cloud oferuje następujące opcje pracy z inicjatywami i zasadami zabezpieczeń:

  • Wyświetlanie i edytowanie wbudowanej inicjatywy domyślnej — po włączeniu usługi Defender for Cloud inicjatywa o nazwie "Microsoft test porównawczy zabezpieczeń w chmurze" jest automatycznie przypisywana do wszystkich zarejestrowanych subskrypcji usługi Defender for Cloud. Aby dostosować tę inicjatywę, możesz włączyć lub wyłączyć poszczególne zasady w ramach tej inicjatywy, edytując parametry zasad. Zapoznaj się z listą wbudowanych zasad zabezpieczeń , aby poznać dostępne opcje gotowe do użycia.

  • Dodaj własne inicjatywy niestandardowe — jeśli chcesz dostosować inicjatywy zabezpieczeń zastosowane do subskrypcji, możesz to zrobić w usłudze Defender for Cloud. Następnie otrzymasz zalecenia, jeśli maszyny nie będą zgodne z utworzonymi zasadami. Aby uzyskać instrukcje dotyczące tworzenia i przypisywania zasad niestandardowych, zobacz Używanie niestandardowych inicjatyw i zasad zabezpieczeń.

  • Dodawanie standardów zgodności z przepisami jako inicjatyw — pulpit nawigacyjny zgodności z przepisami usługi Defender for Cloud pokazuje stan wszystkich ocen w środowisku w kontekście określonego standardu lub rozporządzenia (na przykład Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020). Aby uzyskać więcej informacji, zobacz Ulepszanie zgodności z przepisami.

Co to jest zalecenie dotyczące zabezpieczeń?

Korzystając z zasad, usługa Defender for Cloud okresowo analizuje stan zgodności zasobów, aby zidentyfikować potencjalne błędy i słabe konfiguracje zabezpieczeń. Następnie udostępnia zalecenia dotyczące rozwiązywania tych problemów. Rekomendacje są wynikiem oceny zasobów pod kątem odpowiednich zasad i identyfikowania zasobów, które nie spełniają zdefiniowanych wymagań.

Usługa Defender for Cloud udostępnia zalecenia dotyczące zabezpieczeń na podstawie wybranych inicjatyw. Gdy zasady z twojej inicjatywy są porównywane z zasobami i znajdują co najmniej jeden, który nie jest zgodny, jest przedstawiany jako zalecenie w usłudze Defender for Cloud.

Zalecenia to akcje, które należy wykonać, aby zabezpieczyć i zabezpieczyć zasoby. Każde zalecenie zawiera następujące informacje:

  • Krótki opis problemu
  • Kroki korygowania, które należy wykonać w celu wdrożenia zalecenia
  • Zasoby, których dotyczy problem

W praktyce działa to następująco:

  1. Microsoft test porównawczy zabezpieczeń w chmurze to inicjatywa zawierająca wymagania.

    Na przykład konta usługi Azure Storage muszą ograniczyć dostęp do sieci, aby zmniejszyć ich obszar narażony na ataki.

  2. Inicjatywa obejmuje wiele zasad, z których każdy wymaga określonego typu zasobu. Te zasady wymuszają wymagania w inicjatywie.

    Aby kontynuować ten przykład, wymaganie dotyczące magazynu jest wymuszane przy użyciu zasad "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".

  3. Microsoft Defender dla chmury stale ocenia połączone subskrypcje. Jeśli znajdzie zasób, który nie spełnia wymagań zasad, zostanie wyświetlone zalecenie , aby rozwiązać ten problem i ograniczyć bezpieczeństwo zasobów, które nie spełniają wymagań dotyczących zabezpieczeń.

    Jeśli na przykład konto usługi Azure Storage w żadnej z chronionych subskrypcji nie jest chronione za pomocą reguł sieci wirtualnej, zostanie wyświetlone zalecenie dotyczące wzmacniania zabezpieczeń tych zasobów.

Dlatego (1) inicjatywa obejmuje (2) zasady, które generują (3) zalecenia specyficzne dla środowiska.

Szczegóły zaleceń dotyczących zabezpieczeń

Zalecenia dotyczące zabezpieczeń zawierają szczegółowe informacje ułatwiające zrozumienie jego istotności i sposób ich obsługi.

Zrzut ekranu przedstawiający stronę szczegółów rekomendacji z etykietami dla każdego elementu.

Wyświetlane szczegóły rekomendacji to:

  1. W przypadku obsługiwanych zaleceń górny pasek narzędzi zawiera dowolne lub wszystkie następujące przyciski:

    • Wymuszanie i odrzucanie (zobacz Zapobieganie błędom konfiguracji przy użyciu zaleceń wymuszania/odmowy).
    • Wyświetl definicję zasad, aby przejść bezpośrednio do wpisu Azure Policy dla podstawowych zasad.
    • Otwarte zapytanie — możesz wyświetlić szczegółowe informacje o zasobach, których dotyczy problem, przy użyciu eksploratora usługi Azure Resource Graph.
  2. Wskaźnik ważności

  3. Interwał aktualności

  4. Liczba wykluczonych zasobów , jeśli istnieją wykluczenia dla zalecenia. Spowoduje to wyświetlenie liczby zasobów, które zostały wykluczone z linku w celu wyświetlenia określonych zasobów.

  5. Mapowanie na MITRE ATT& Taktyka i techniki CK ® , jeśli zalecenie ma zdefiniowaną taktykę i techniki, wybierz ikonę linków do odpowiednich stron w witrynie MITRE. Dotyczy to tylko rekomendacji ocenianych przez platformę Azure.

    Zrzut ekranu przedstawiający mapowanie taktyk MITRE dla zalecenia.

  6. Opis — krótki opis problemu z zabezpieczeniami.

  7. W razie potrzeby strona szczegółów zawiera również tabelę powiązanych zaleceń:

    Typy relacji to:

    • Wymaganie wstępne — zalecenie, które należy wykonać przed wybraną rekomendacją
    • Alternatywa — inne zalecenie, które zapewnia inny sposób osiągnięcia celów wybranego zalecenia
    • Zależne — zalecenie, dla którego wybrane zalecenie jest wymaganiem wstępnym

    Dla każdego powiązanego zalecenia liczba zasobów w złej kondycji jest wyświetlana w kolumnie "Zasoby, których dotyczy problem".

    Porada

    Jeśli powiązane zalecenie jest wyszarane, jego zależność nie została jeszcze ukończona i nie jest dostępna.

  8. Kroki korygowania — opis ręcznych kroków wymaganych do rozwiązania problemu z zabezpieczeniami w zasobach, których dotyczy problem. W przypadku zaleceń z opcją Napraw możesz wybrać pozycjęWyświetl logikę korygowania przed zastosowaniem sugerowanej poprawki do zasobów.

  9. Zasoby, których to dotyczy — zasoby są pogrupowane na karty:

    • Zasoby w dobrej kondycji — odpowiednie zasoby, na które nie ma wpływu lub na które problem został już skorygowany.
    • Zasoby w złej kondycji — zasoby , na które nadal ma wpływ zidentyfikowany problem.
    • Nie dotyczy zasobów — zasoby , dla których zalecenie nie może udzielić ostatecznej odpowiedzi. Karta nie dotyczy zawiera również przyczyny każdego zasobu.

    Zrzut ekranu przedstawiający zasoby, dla których zalecenie nie może udzielić ostatecznej odpowiedzi.

  10. Przyciski akcji w celu skorygowania zalecenia lub wyzwolenia aplikacji logiki.

Wyświetlanie relacji między zaleceniem a zasadami

Jak wspomniano powyżej, wbudowane zalecenia usługi Defender for Cloud są oparte na testach porównawczych zabezpieczeń chmury Microsoft. Prawie każde zalecenie ma podstawowe zasady, które pochodzą z wymagania w temie porównawczej.

Podczas przeglądania szczegółów zalecenia często warto zobaczyć podstawowe zasady. Dla każdego zalecenia obsługiwanego przez zasady użyj linku Wyświetl definicję zasad ze strony szczegółów rekomendacji, aby przejść bezpośrednio do wpisu Azure Policy dla odpowiednich zasad:

Link do strony Azure Policy dla określonych zasad obsługujących zalecenie.

Użyj tego linku, aby wyświetlić definicję zasad i przejrzeć logikę oceny.

Jeśli przeglądasz listę zaleceń w naszym przewodniku referencyjnym dotyczącym zaleceń dotyczących zabezpieczeń, zobaczysz również linki do stron definicji zasad:

Uzyskiwanie dostępu do strony Azure Policy dla określonych zasad bezpośrednio ze strony referencyjnej Microsoft Defender for Cloud recommendations (Zalecenia dotyczące chmury).

Następne kroki

Na tej stronie wyjaśniono na wysokim poziomie podstawowe pojęcia i relacje między zasadami, inicjatywami i zaleceniami. Aby uzyskać powiązane informacje, zobacz: