Zasady zabezpieczeń w Defender dla Chmury

  • Artykuł

Zasady zabezpieczeń w Microsoft Defender dla Chmury składają się ze standardów zabezpieczeń i zaleceń, które pomagają poprawić stan zabezpieczeń chmury.

  • Standardy zabezpieczeń: Standardy zabezpieczeń definiują reguły, warunki zgodności dla tych reguł i akcje (efekty) do wykonania, jeśli warunki nie zostaną spełnione.
  • Zalecenia dotyczące zabezpieczeń: Zasoby i obciążenia są oceniane pod kątem standardów zabezpieczeń, które są włączone w subskrypcjach platformy Azure, kontach platformy AWS i projektach GCP. Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki rozwiązywania problemów z zabezpieczeniami i poprawy stanu zabezpieczeń.

Standardy zabezpieczeń

Standardy zabezpieczeń w Defender dla Chmury pochodzą z kilku źródeł:

  • Test porównawczy zabezpieczeń w chmurze (MCSB) firmy Microsoft. Standard MCSB jest stosowany domyślnie podczas dołączania Defender dla Chmury do grupy zarządzania lub subskrypcji. Wskaźnik bezpieczeństwa jest oparty na ocenie niektórych zaleceń MCSB. Dowiedz się więcej.
  • Standardy zgodności z przepisami. Oprócz mcSB, po włączeniu co najmniej jednego planu Defender dla Chmury można dodać standardy z szerokiej gamy wstępnie zdefiniowanych programów zgodności z przepisami. Dowiedz się więcej.
  • Standardy niestandardowe. Niestandardowe standardy zabezpieczeń można tworzyć w Defender dla Chmury oraz dodawać wbudowane i niestandardowe zalecenia do tych niestandardowych standardów zgodnie z potrzebami.

Standardy zabezpieczeń w Defender dla Chmury są oparte na inicjatywach usługi Azure Policylub na platformie natywnej Defender dla Chmury. W momencie pisania (listopada 2023 r.) standardy platformy AWS i GCP są Defender dla Chmury oparte na platformie, a standardy platformy Azure są obecnie oparte na usłudze Azure Policy.

Standardy zabezpieczeń w Defender dla Chmury upraszczają złożoność usługi Azure Policy. W większości przypadków można pracować bezpośrednio ze standardami zabezpieczeń i zaleceniami w portalu Defender dla Chmury bez konieczności bezpośredniego konfigurowania usługi Azure Policy.

Praca ze standardami zabezpieczeń

Oto, co można zrobić ze standardami zabezpieczeń w Defender dla Chmury:

  • Zmodyfikuj wbudowaną usługę MCSB dla subskrypcji — po włączeniu Defender dla Chmury mcSB jest automatycznie przypisywany do wszystkich Defender dla Chmury zarejestrowanych subskrypcji.

  • Dodawanie standardów zgodności z przepisami — jeśli masz włączony co najmniej jeden płatny plan, możesz przypisać wbudowane standardy zgodności, względem których można ocenić zasoby platformy Azure, AWS i GCP. Dowiedz się więcej o przypisywaniu standardów regulacyjnych

  • Dodawanie standardów niestandardowych — jeśli masz włączony co najmniej jeden płatny plan usługi Defender, możesz zdefiniować nowe standardy platformy Azure, usług AWS i GCP w portalu Defender dla Chmury i dodać do nich zalecenia.

Standardy niestandardowe

Możesz tworzyć niestandardowe standardy dla zasobów platform Azure, AWS i GCP.

  • Standardy niestandardowe są wyświetlane wraz z wbudowanymi standardami na pulpicie nawigacyjnym Zgodności z przepisami .
  • Rekomendacje pochodzące z ocen z niestandardowymi standardami są wyświetlane razem z zaleceniami wbudowanymi standardami.
  • Standardy niestandardowe mogą zawierać wbudowane i niestandardowe zalecenia.

Zalecenia dotyczące zabezpieczeń

Defender dla Chmury okresowo i stale analizuje i ocenia stan zabezpieczeń chronionych zasobów przed zdefiniowanymi standardami zabezpieczeń, aby zidentyfikować potencjalne błędy konfiguracji i słabości zabezpieczeń. Na podstawie wyników oceny zalecenia zawierają informacje o problemach i sugerują akcje korygowania.

Każde zalecenie zawiera następujące informacje:

  • Krótki opis problemu
  • Kroki korygowania, które należy wykonać w celu wdrożenia zalecenia
  • Zasoby, których dotyczy problem
  • Poziom ryzyka
  • Czynniki ryzyka
  • Ścieżki ataków

Każde zalecenie w Defender dla Chmury ma skojarzony poziom ryzyka, który reprezentuje sposób wykorzystania i wpływu problemu z zabezpieczeniami w danym środowisku. Aparat oceny ryzyka uwzględnia takie czynniki jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego, korygowanie ścieżek ataków i nie tylko. Rekomendacje można ustalić priorytety na podstawie ich poziomów ryzyka.

Uwaga

Obecnie priorytetyzacja ryzyka jest dostępna w publicznej wersji zapoznawczej i dlatego nie ma wpływu na wskaźnik bezpieczeństwa.

Przykład

  • Standard MCSB to inicjatywa usługi Azure Policy obejmująca wiele mechanizmów kontroli zgodności. Jedną z tych kontrolek jest "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".
  • Ponieważ Defender dla Chmury stale ocenia i znajduje zasoby, które nie spełniają tej kontroli, oznacza zasoby jako niezgodne i wyzwala zalecenie. W takim przypadku wskazówki dotyczą wzmacniania zabezpieczeń kont usługi Azure Storage, które nie są chronione za pomocą reguł sieci wirtualnej.

Rekomendacja niestandardowa (Azure)

Aby utworzyć niestandardowe rekomendacje dla subskrypcji platformy Azure, obecnie musisz użyć usługi Azure Policy.

Należy utworzyć definicję zasad, przypisać ją do inicjatywy zasad i scalić ją z Defender dla Chmury. Dowiedz się więcej.

Zalecenia niestandardowe (AWS/GCP)

  • Aby utworzyć niestandardowe zalecenia dotyczące zasobów platformy AWS/GCP, należy włączyć plan CSPM w usłudze Defender.
  • Standardy niestandardowe działają jako logiczne grupowanie dla zaleceń niestandardowych. Zalecenia niestandardowe można przypisać do co najmniej jednego standardu niestandardowego.
  • W zaleceniach niestandardowych należy określić unikatową nazwę, opis, kroki korygowania, ważność i standardy, do których należy przypisać zalecenie.
  • Dodasz logikę rekomendacji za pomocą języka KQL. Prosty edytor zapytań udostępnia wbudowany szablon zapytania, który można dostosować zgodnie z potrzebami lub napisać zapytanie KQL od podstaw.

Więcej informacji:

Następne kroki