Zasady zabezpieczeń w Defender dla Chmury

  • Artykuł

Zasady zabezpieczeń w Microsoft Defender dla Chmury składają się ze standardów zabezpieczeń i zaleceń, które pomagają poprawić stan zabezpieczeń chmury.

Standardy zabezpieczeń definiują reguły, warunki zgodności dla tych reguł i akcje (efekty) do wykonania, jeśli warunki nie zostaną spełnione. Defender dla Chmury ocenia zasoby i obciążenia pod kątem standardów zabezpieczeń, które są włączone w subskrypcjach platformy Azure, kontach usług Amazon Web Services (AWS) i projektach Google Cloud Platform (GCP). Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki ułatwiające korygowanie problemów z zabezpieczeniami.

Standardy zabezpieczeń

Standardy zabezpieczeń w Defender dla Chmury pochodzą z następujących źródeł:

  • Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB): standard MCSB jest stosowany domyślnie podczas dołączania Defender dla Chmury do grupy zarządzania lub subskrypcji. Wskaźnik bezpieczeństwa jest oparty na ocenie niektórych zaleceń MCSB.

  • Standardy zgodności z przepisami: po włączeniu co najmniej jednego planu Defender dla Chmury można dodać standardy z szerokiej gamy wstępnie zdefiniowanych programów zgodności z przepisami.

  • Standardy niestandardowe: niestandardowe standardy zabezpieczeń można tworzyć w Defender dla Chmury, a następnie dodawać wbudowane i niestandardowe zalecenia do tych niestandardowych standardów zgodnie z potrzebami.

Standardy zabezpieczeń w Defender dla Chmury są oparte na inicjatywach usługi Azure Policylub na platformie natywnej Defender dla Chmury. Obecnie standardy platformy Azure są oparte na usłudze Azure Policy. Standardy platform AWS i GCP są oparte na Defender dla Chmury.

Standardy zabezpieczeń w Defender dla Chmury upraszczają złożoność usługi Azure Policy. W większości przypadków można pracować bezpośrednio ze standardami zabezpieczeń i zaleceniami w portalu Defender dla Chmury bez konieczności bezpośredniego konfigurowania usługi Azure Policy.

Praca ze standardami zabezpieczeń

Oto, co można zrobić ze standardami zabezpieczeń w Defender dla Chmury:

  • Zmodyfikuj wbudowaną subskrypcję MCSB: po włączeniu Defender dla Chmury mcSB jest automatycznie przypisywany do wszystkich Defender dla Chmury zarejestrowanych subskrypcji.

  • Dodaj standardy zgodności z przepisami: jeśli masz włączony co najmniej jeden płatny plan, możesz przypisać wbudowane standardy zgodności, względem których można ocenić zasoby platformy Azure, AWS i GCP. Dowiedz się więcej o przypisywaniu standardów regulacyjnych.

  • Dodaj standardy niestandardowe: jeśli masz włączony co najmniej jeden płatny plan usługi Defender, możesz zdefiniować nowe standardy platformy Azure lub standardy AWS/GCP w portalu Defender dla Chmury. Następnie możesz dodać zalecenia do tych standardów.

Praca ze standardami niestandardowymi

Standardy niestandardowe są wyświetlane wraz z wbudowanymi standardami na pulpicie nawigacyjnym zgodności z przepisami .

Rekomendacje pochodzące z ocen z niestandardowymi standardami są wyświetlane razem z zaleceniami wbudowanymi standardami. Standardy niestandardowe mogą zawierać wbudowane i niestandardowe zalecenia.

Zalecenia dotyczące zabezpieczeń

Defender dla Chmury okresowo i stale analizuje i ocenia stan zabezpieczeń chronionych zasobów przed zdefiniowanymi standardami zabezpieczeń, aby zidentyfikować potencjalne błędy konfiguracji i słabości zabezpieczeń. Defender dla Chmury następnie udostępnia zalecenia na podstawie wyników oceny.

Każde zalecenie zawiera następujące informacje:

  • Krótki opis problemu
  • Kroki korygowania dotyczące implementowania zalecenia
  • Zasoby, których dotyczy problem
  • Poziom ryzyka
  • Czynniki ryzyka
  • Ścieżki ataków

Każde zalecenie w Defender dla Chmury ma skojarzony poziom ryzyka, który reprezentuje sposób wykorzystania i wpływu problemu z zabezpieczeniami w danym środowisku. Aparat oceny ryzyka uwzględnia czynniki, takie jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i korygowanie ścieżki ataku. Rekomendacje można określić według priorytetów na podstawie ich poziomów ryzyka.

Ważne

Priorytetyzacja ryzyka nie ma wpływu na wskaźnik bezpieczeństwa.

Przykład

Standard MCSB to inicjatywa usługi Azure Policy obejmująca wiele mechanizmów kontroli zgodności. Jedną z tych kontrolek jest "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".

Ponieważ Defender dla Chmury stale ocenia i znajduje zasoby, które nie spełniają tej kontroli, oznacza zasoby jako niezgodne i wyzwala zalecenie. W takim przypadku wskazówki dotyczą wzmacniania zabezpieczeń kont usługi Azure Storage, które nie są chronione za pomocą reguł sieci wirtualnej.

Zalecenia niestandardowe

Wszyscy klienci z subskrypcjami platformy Azure mogą tworzyć niestandardowe rekomendacje na podstawie usługi Azure Policy. Usługa Azure Policy umożliwia utworzenie definicji zasad, przypisanie jej do inicjatywy zasad oraz scalenie tej inicjatywy i zasad z Defender dla Chmury.

Zalecenia niestandardowe oparte na język zapytań Kusto (KQL) są dostępne dla wszystkich chmur, ale wymagają włączenia planu CSPM w usłudze Defender. Te zalecenia umożliwiają określenie unikatowej nazwy, opisu, kroków korygowania, ważności i standardów, do których należy przypisać zalecenie. Dodasz logikę rekomendacji za pomocą języka KQL. Edytor zapytań udostępnia wbudowany szablon zapytania, który można dostosować zgodnie z potrzebami lub napisać zapytanie KQL od podstaw.

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń w Microsoft Defender dla Chmury.

Następne kroki