Zasady zabezpieczeń w Defender dla Chmury

Zasady zabezpieczeń w Microsoft Defender dla Chmury składają się ze standardów zabezpieczeń i zaleceń, które pomagają poprawić stan zabezpieczeń chmury.

Standardy zabezpieczeń definiują reguły, warunki zgodności dla tych reguł i akcje (efekty) do wykonania, jeśli warunki nie zostaną spełnione. Defender dla Chmury ocenia zasoby i obciążenia pod kątem standardów zabezpieczeń, które są włączone w subskrypcjach platformy Azure, kontach usług Amazon Web Services (AWS) i projektach Google Cloud Platform (GCP). Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki ułatwiające korygowanie problemów z zabezpieczeniami.

Standardy zabezpieczeń

Standardy zabezpieczeń w Defender dla Chmury pochodzą z następujących źródeł:

• Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB): standard MCSB jest stosowany domyślnie podczas dołączania kont w chmurze do usługi Defender. Wskaźnik bezpieczeństwa jest oparty na ocenie niektórych zaleceń MCSB.

• Standardy zgodności z przepisami: po włączeniu co najmniej jednego planu Defender dla Chmury można dodać standardy z szerokiej gamy wstępnie zdefiniowanych programów zgodności z przepisami.

• Standardy niestandardowe: niestandardowe standardy zabezpieczeń można tworzyć w Defender dla Chmury, a następnie dodawać wbudowane i niestandardowe zalecenia do tych niestandardowych standardów zgodnie z potrzebami.

Standardy zabezpieczeń w Defender dla Chmury są oparte na inicjatywach usługi Azure Policy lub na platformie natywnej Defender dla Chmury. Obecnie standardy platformy Azure są oparte na usłudze Azure Policy. Standardy platform AWS i GCP są oparte na Defender dla Chmury.

Praca ze standardami zabezpieczeń

Oto, co można zrobić ze standardami zabezpieczeń w Defender dla Chmury:

• Zmodyfikuj wbudowaną subskrypcję MCSB: po włączeniu Defender dla Chmury mcSB jest automatycznie przypisywany do wszystkich Defender dla Chmury zarejestrowanych subskrypcji. Dowiedz się więcej o zarządzaniu standardem MCSB.

• Dodaj standardy zgodności z przepisami: jeśli masz włączony co najmniej jeden płatny plan, możesz przypisać wbudowane standardy zgodności, względem których można ocenić zasoby platformy Azure, AWS i GCP. Dowiedz się więcej o przypisywaniu standardów regulacyjnych.

• Dodaj standardy niestandardowe: jeśli masz włączony co najmniej jeden płatny plan usługi Defender, możesz zdefiniować nowe standardy niestandardowe i zalecenia niestandardowe w portalu Defender dla Chmury. Następnie możesz dodać zalecenia do tych standardów.

Standardy niestandardowe

Standardy niestandardowe są wyświetlane wraz z wbudowanymi standardami na pulpicie nawigacyjnym zgodności z przepisami .

Zalecenia pochodzące z ocen w odniesieniu do niestandardowych standardów są wyświetlane razem z zaleceniami wbudowanymi standardami. Standardy niestandardowe mogą zawierać wbudowane i niestandardowe zalecenia.

Zalecenia niestandardowe

Użycie niestandardowych zaleceń opartych na język zapytań Kusto (KQL) jest zalecanym podejściem i jest obsługiwane dla wszystkich chmur, ale wymaga włączenia planu CSPM w usłudze Defender. W przypadku tych zaleceń należy określić unikatową nazwę, opis, kroki korygowania, ważność i odpowiednie standardy. Dodasz logikę rekomendacji za pomocą języka KQL. Edytor zapytań udostępnia wbudowany szablon zapytania, który można dostosować, lub możesz napisać zapytanie KQL.

Alternatywnie wszyscy klienci platformy Azure mogą dołączać niestandardowe inicjatywy usługi Azure Policy jako zalecenia niestandardowe (starsze podejście).

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń w Microsoft Defender dla Chmury.

Zalecenia dotyczące zabezpieczeń

Defender dla Chmury okresowo i stale analizuje i ocenia stan zabezpieczeń chronionych zasobów przed zdefiniowanymi standardami zabezpieczeń, aby zidentyfikować potencjalne błędy konfiguracji i słabości zabezpieczeń. Defender dla Chmury następnie udostępnia zalecenia na podstawie wyników oceny.

Każde zalecenie zawiera następujące informacje:

• Krótki opis problemu
• Kroki korygowania dotyczące implementowania zalecenia
• Zasoby, których dotyczy problem
• Poziom ryzyka
• Czynniki ryzyka
• Ścieżki ataków

Każde zalecenie w Defender dla Chmury ma skojarzony poziom ryzyka, który reprezentuje sposób wykorzystania i wpływu problemu z zabezpieczeniami w danym środowisku. Aparat oceny ryzyka uwzględnia czynniki, takie jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i korygowanie ścieżki ataku. Rekomendacje można określić według priorytetów na podstawie ich poziomów ryzyka.

Ważne

Priorytetyzacja ryzyka nie ma wpływu na wskaźnik bezpieczeństwa.

Przykład

Standard MCSB to inicjatywa usługi Azure Policy obejmująca wiele mechanizmów kontroli zgodności. Jedną z tych kontrolek jest "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".

Defender dla Chmury stale ocenia zasoby. Jeśli okaże się, że ta kontrolka nie spełnia wymagań, oznacza je jako niezgodne i wyzwala zalecenie. W takim przypadku wskazówki dotyczą wzmacniania zabezpieczeń kont usługi Azure Storage, które nie są chronione za pomocą reguł sieci wirtualnej.

Następne kroki

• Dowiedz się więcej na temat standardów zgodności z przepisami, MCSB i poprawy zgodności z przepisami.
• Dowiedz się więcej o zaleceniach dotyczących zabezpieczeń.