Zarządzanie zaleceniami mcSB w Defender dla Chmury
Microsoft Defender dla Chmury ocenia zasoby pod kątem standardów zabezpieczeń. Domyślnie podczas dołączania kont w chmurze do Defender dla Chmury jest włączony standard testu porównawczego zabezpieczeń w chmurze firmy Microsoft (MCSB). Defender dla Chmury rozpoczyna ocenę stanu zabezpieczeń zasobu względem mechanizmów kontroli w standardzie MCSB i wystawia zalecenia dotyczące zabezpieczeń na podstawie ocen.
W tym artykule opisano sposób zarządzania zaleceniami udostępnianymi przez mcSB.
Przed rozpoczęciem
Istnieją dwie konkretne role w Defender dla Chmury, które mogą wyświetlać elementy zabezpieczeń i zarządzać nimi:
- Czytelnik zabezpieczeń: ma uprawnienia do wyświetlania Defender dla Chmury elementów, takich jak zalecenia, alerty, zasady i kondycja. Nie można wprowadzać zmian.
- Administrator zabezpieczeń: ma te same uprawnienia do wyświetlania co czytelnik zabezpieczeń. Może również aktualizować zasady zabezpieczeń i odrzucać alerty.
Odrzucanie i wymuszanie zaleceń
Odmowa służy do zapobiegania wdrażaniu zasobów, które nie są zgodne z mcSB. Jeśli na przykład masz kontrolkę Odmów, która określa, że nowe konto magazynu musi spełniać określone kryteria, nie można utworzyć konta magazynu, jeśli nie spełnia tych kryteriów.
Wymuszanie umożliwia korzystanie z efektu DeployIfNotExist w usłudze Azure Policy i automatycznego korygowania niezgodnych zasobów podczas tworzenia.
Uwaga
Wymuszanie i odrzucanie mają zastosowanie do zaleceń platformy Azure i są obsługiwane w podzestawie zaleceń.
Aby przejrzeć zalecenia, które możesz odrzucić i wymusić, na stronie Zasady zabezpieczeń na karcie Standardy wybierz pozycję Test porównawczy zabezpieczeń w chmurze firmy Microsoft i przejdź do zalecenia, aby sprawdzić, czy są dostępne akcje odmowy/wymuszania.
Zarządzanie ustawieniami rekomendacji
Uwaga
- Jeśli zalecenie jest wyłączone, wszystkie jego podpoleceń są wykluczone.
- Wyłączone i Odmów efekty są dostępne tylko dla środowiska platformy Azure.
W portalu Defender dla Chmury otwórz stronę Ustawienia środowiska.
Wybierz konto w chmurze lub konto zarządzania, dla którego chcesz zarządzać zaleceniami mcSB.
Otwórz stronę Zasady zabezpieczeń i wybierz standard MCSB. Należy włączyć standard.
Wybierz wielokropek >Zarządzaj zaleceniami.
Obok odpowiedniego zalecenia wybierz menu wielokropka, wybierz pozycję Zarządzaj efektem i parametrami.
- Aby włączyć zalecenie, wybierz pozycję Inspekcja.
- Aby wyłączyć zalecenie, wybierz pozycję Wyłączone
- Aby odrzucić lub wymusić zalecenie, wybierz pozycję Odmów.
Wymuszanie zalecenia
Rekomendację można wymusić tylko na stronie szczegółów zalecenia.
W portalu Defender dla Chmury otwórz stronę Zalecenia i wybierz odpowiednie zalecenie.
W górnym menu wybierz pozycję Wymuszaj.
Wybierz pozycję Zapisz.
Ustawienie zostanie zastosowane natychmiast, ale zalecenia zostaną zaktualizowane na podstawie ich interwału aktualności (do 12 godzin).
Modyfikowanie dodatkowych parametrów
Możesz skonfigurować dodatkowe parametry dla niektórych zaleceń. Na przykład zalecenia dotyczące rejestrowania diagnostycznego mają domyślny okres przechowywania jednego dnia. Możesz zmienić wartość domyślną.
Na stronie szczegółów zalecenia kolumna Dodatkowe parametry wskazuje, czy zalecenie ma skojarzone dodatkowe parametry.
- Ustawienie domyślne — zalecenie jest uruchamiane z konfiguracją domyślną
- Skonfigurowane — konfiguracja rekomendacji jest modyfikowana z wartości domyślnych
- Brak — zalecenie nie wymaga żadnej dodatkowej konfiguracji
Obok zalecenia MCSB wybierz menu wielokropka, wybierz pozycję Zarządzaj efektem i parametrami.
W obszarze Dodatkowe parametry skonfiguruj dostępne parametry przy użyciu nowych wartości.
Wybierz pozycję Zapisz.
Jeśli chcesz przywrócić zmiany, wybierz pozycję Przywróć domyślne , aby przywrócić wartość domyślną zalecenia.
Identyfikowanie potencjalnych konfliktów
Potencjalne konflikty mogą wystąpić, gdy masz wiele przypisań standardów z różnymi wartościami.
Aby zidentyfikować konflikty w akcji, w obszarze Dodaj wybierz pozycję Konflikt efektu Powoduje konflikt>, aby zidentyfikować wszelkie konflikty.
Aby zidentyfikować konflikty w dodatkowych parametrach, w obszarze Dodaj wybierz pozycję Konflikt dodatkowych parametrów Ma konflikt>, aby zidentyfikować wszelkie konflikty.
Jeśli konflikty zostaną znalezione, w obszarze Ustawienia rekomendacji wybierz wymaganą wartość i zapisz.
Wszystkie przypisania w zakresie zostaną dopasowane do nowego ustawienia, aby rozwiązać konflikt.
Następne kroki
Na tej stronie wyjaśniono zasady zabezpieczeń. Aby uzyskać powiązane informacje, zobacz następujące strony:
- Dowiedz się, jak ustawić zasady przy użyciu programu PowerShell
- Dowiedz się, jak edytować zasady zabezpieczeń w usłudze Azure Policy
- Dowiedz się, jak ustawić zasady między subskrypcjami lub grupami zarządzania przy użyciu usługi Azure Policy
- Dowiedz się, jak włączyć Defender dla Chmury we wszystkich subskrypcjach w grupie zarządzania