Ulepszanie zgodności z przepisami

  • Artykuł

Microsoft Defender dla Chmury pomaga spełnić wymagania dotyczące zgodności z przepisami, stale oceniając zasoby pod kątem kontroli zgodności i identyfikując problemy, które uniemożliwiają osiągnięcie określonego certyfikatu zgodności.

Na pulpicie nawigacyjnym zgodność z przepisami można zarządzać standardami zgodności i korzystać z niej. Możesz sprawdzić, które standardy zgodności są przypisane, włączać i wyłączać standardy dla platformy Azure, AWS i GCP, przeglądać stan ocen pod kątem standardów i nie tylko.

Integracja z usługą Purview

Dane zgodności z Defender dla Chmury teraz bezproblemowo integrują się z menedżerem zgodności usługi Microsoft Purview, co pozwala centralnie ocenić zgodność i zarządzać zgodnością w całej infrastrukturze cyfrowej organizacji.

Po dodaniu dowolnego standardu do pulpitu nawigacyjnego zgodności (w tym standardów zgodności monitorowania innych chmur, takich jak AWS i GCP), dane zgodności na poziomie zasobów są automatycznie udostępniane w Menedżerze zgodności dla tego samego standardu.

Dzięki temu menedżer zgodności zapewnia działania i stan ulepszeń w całej infrastrukturze chmury i wszystkich innych zasobów cyfrowych w tym centralnym narzędziu. Aby uzyskać więcej informacji, zobacz Obsługa wielu chmur w Menedżerze zgodności usługi Microsoft Purview.

Przed rozpoczęciem

  • Domyślnie po włączeniu Defender dla Chmury w ramach subskrypcji platformy Azure, konta platformy AWS lub planu GCP jest włączony plan MCSB.
  • Możesz dodać więcej standardów zgodności innych niż domyślne, jeśli co najmniej jeden płatny plan jest włączony w Defender dla Chmury.
  • Musisz zalogować się przy użyciu konta z dostępem czytelnika do danych zgodności zasad. Rola Czytelnik dla subskrypcji ma dostęp do danych zgodności zasad, ale rola Czytelnik zabezpieczeń nie. Co najmniej musisz mieć przypisane role współautora zasad zasobów i zabezpieczeń Administracja.

Ocena zgodności z przepisami

Na pulpicie nawigacyjnym Zgodności z przepisami pokazano, które standardy zgodności są włączone. Przedstawia on mechanizmy kontroli w ramach każdego standardu oraz oceny zabezpieczeń dla tych mechanizmów kontroli. Stan tych ocen odzwierciedla zgodność ze standardem.

Pulpit nawigacyjny pomaga skupić się na lukach w standardach i monitorować z czasem zgodność.

  1. W portalu Defender dla Chmury otwórz stronę Zgodność z przepisami.

    Screenshot that shows the exploration of the details of compliance with a specific standard.

  2. Użyj pulpitu nawigacyjnego zgodnie z liczbami elementów na obrazie.

    • (1). Wybierz standard zgodności, aby wyświetlić listę wszystkich kontrolek dla tego standardu.
    • (2). Wyświetl subskrypcje, w których zastosowano standard zgodności.
    • (3). Wybierz i rozwiń kontrolkę, aby wyświetlić skojarzone z nią oceny. Wybierz ocenę, aby wyświetlić skojarzone zasoby i możliwe akcje korygowania.
    • (4). Wybierz pozycję Szczegóły kontrolki, aby wyświetlić karty Przegląd, Akcje i Microsoft Actions .
    • (5). W obszarze Akcje można zobaczyć automatyczne i ręczne oceny skojarzone z kontrolką.
    • (6). Automatyczne oceny pokazują liczbę nieudanych zasobów i typów zasobów oraz łączą Cię bezpośrednio z informacjami dotyczącymi korygowania.
    • (7). Oceny ręczne można zaświadczać ręcznie, a dowody można powiązać w celu wykazania zgodności.

Badanie problemów

Informacje na pulpicie nawigacyjnym umożliwiają badanie problemów, które mogą mieć wpływ na zgodność ze standardem.

  1. W portalu Defender dla Chmury otwórz pozycję Zgodność z przepisami.

  2. Wybierz standard zgodności z przepisami i wybierz kontrolę zgodności, aby ją rozwinąć.

  3. Wybierz pozycję Szczegóły kontrolki.

    Screenshot that shows you where to navigate to select control details on the screen.

    • Wybierz pozycję Przegląd , aby wyświetlić określone informacje o wybranej kontrolce.
    • Wybierz pozycję Twoje akcje , aby wyświetlić szczegółowy widok zautomatyzowanych i ręcznych akcji, które należy wykonać, aby poprawić stan zgodności.
    • Wybierz pozycję Microsoft Actions , aby wyświetlić wszystkie akcje, które firma Microsoft podjęła, aby zapewnić zgodność z wybranym standardem.

  4. W obszarze Akcje możesz wybrać strzałkę w dół, aby wyświetlić więcej szczegółów i rozwiązać zalecenie dotyczące tego zasobu.

    Screenshot that shows you where the down arrow is on the screen.

    Aby uzyskać więcej informacji na temat stosowania zaleceń, zobacz Implementowanie zaleceń dotyczących zabezpieczeń w Microsoft Defender dla Chmury.

    Uwaga

    Oceny są uruchamiane co około 12 godzin, więc zobaczysz wpływ na dane zgodności dopiero po następnym uruchomieniu odpowiedniej oceny.

Korygowanie zautomatyzowanej oceny

Zgodność z przepisami ma zarówno zautomatyzowane, jak i ręczne oceny, które mogą wymagać skorygowania. Korzystając z informacji na pulpicie nawigacyjnym zgodności z przepisami, popraw stan zgodności, rozwiązując zalecenia bezpośrednio na pulpicie nawigacyjnym.

  1. W portalu Defender dla Chmury otwórz pozycję Zgodność z przepisami.

  2. Wybierz standard zgodności z przepisami i wybierz kontrolę zgodności, aby ją rozwinąć.

  3. Wybierz dowolne oceny zakończone niepowodzeniem, które są wyświetlane na pulpicie nawigacyjnym, aby wyświetlić szczegóły dla tego zalecenia. Każde zalecenie zawiera zestaw kroków korygowania w celu rozwiązania problemu.

  4. Wybierz konkretny zasób, aby wyświetlić więcej szczegółów i rozwiązać zalecenie dotyczące tego zasobu.
    Na przykład w warstwie Standardowa usługi Azure CIS 1.1.0 wybierz zalecenie Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych.

    Screenshot that shows that selecting a recommendation from a standard leads directly to the recommendation details page.

  5. W tym przykładzie po wybraniu pozycji Podejmij akcję na stronie szczegółów zalecenia nastąpi przejście na strony maszyny wirtualnej platformy Azure w witrynie Azure Portal, gdzie można włączyć szyfrowanie na karcie Zabezpieczenia :

    Screenshot that shows the take action button on the recommendation details page leads to the remediation options.

    Aby uzyskać więcej informacji na temat stosowania zaleceń, zobacz Implementowanie zaleceń dotyczących zabezpieczeń w Microsoft Defender dla Chmury.

  6. Po podjęciu akcji w celu rozwiązania zaleceń zobaczysz wynik w raporcie pulpitu nawigacyjnego zgodności, ponieważ współczynnik zgodności się poprawia.

Oceny są uruchamiane co około 12 godzin, więc zobaczysz wpływ na dane zgodności dopiero po następnym uruchomieniu odpowiedniej oceny.

Korygowanie oceny ręcznej

Zgodność z przepisami ma zautomatyzowane i ręczne oceny, które mogą wymagać skorygowania. Oceny ręczne to oceny, które wymagają danych wejściowych od klienta w celu ich skorygowania.

  1. W portalu Defender dla Chmury otwórz pozycję Zgodność z przepisami.

  2. Wybierz standard zgodności z przepisami i wybierz kontrolę zgodności, aby ją rozwinąć.

  3. W sekcji Ręczne zaświadczenie i dowody wybierz ocenę.

  4. Wybierz odpowiednie subskrypcje.

  5. Wybierz pozycję Zaświadczaj.

  6. Wprowadź odpowiednie informacje i dołącz dowody zgodności.

  7. Wybierz pozycję Zapisz.

Generowanie raportów o stanie zgodności i certyfikatów

  1. Aby wygenerować raport PDF z podsumowaniem bieżącego stanu zgodności dla określonego standardu, wybierz pozycję Pobierz raport.

    Raport zawiera ogólne podsumowanie stanu zgodności dla wybranego standardu na podstawie Defender dla Chmury danych oceny. Raport jest zorganizowany zgodnie z mechanizmami kontroli tego konkretnego standardu. Raport może być udostępniany odpowiednim uczestnikom projektu i może dostarczyć dowody audytorom wewnętrznym i zewnętrznym.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download compliance reports.

  2. Aby pobrać raporty dotyczące certyfikacji platformy Azure i usługi Dynamics dla standardów zastosowanych do subskrypcji, użyj opcji Raporty inspekcji.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download Azure and Dynamics certification reports.

  3. Wybierz kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyj filtrów, aby znaleźć potrzebne raporty:

    Screenshot that shows filtering the list of available Azure Audit reports using tabs and filters.

    Na przykład na karcie PCI można pobrać plik ZIP zawierający podpisany cyfrowo certyfikat demonstrujący zgodność platformy Microsoft Azure, usługi Dynamics 365 i innych usług online z platformą ISO22301 wraz z niezbędnym zabezpieczeniem do interpretowania i prezentowania certyfikatu.

Po pobraniu jednego z tych raportów dotyczących certyfikacji są wyświetlane następujące informacje o ochronie prywatności:

Pobierając ten plik, wyrażasz zgodę na przechowywanie bieżącego użytkownika i wybranych subskrypcji w momencie pobierania przez firmę Microsoft. Te dane są używane w celu powiadamiania Użytkownika w przypadku zmian lub aktualizacji pobranego raportu inspekcji. Te dane są używane przez firmę Microsoft i firmy inspekcji, które generują certyfikaty/raporty tylko wtedy, gdy jest wymagane powiadomienie.

Stan zgodności ciągłego eksportowania

Jeśli chcesz śledzić stan zgodności z innymi narzędziami do monitorowania w danym środowisku, Defender dla Chmury zawiera mechanizm eksportu, aby to było proste. Skonfiguruj eksport ciągły, aby wysyłać wybrane dane do usługi Azure Event Hubs lub obszaru roboczego usługi Log Analytics. Dowiedz się więcej na temat ciągłego eksportowania Defender dla Chmury danych.

Użyj danych eksportu ciągłego do usługi Azure Event Hubs lub obszaru roboczego usługi Log Analytics:

  1. Eksportuj wszystkie dane zgodności z przepisami w strumieniu ciągłym:

    Screenshot that shows how to continuously export a stream of regulatory compliance data.

  2. Eksportuj cotygodniowe migawki danych zgodności z przepisami:

    Screenshot that shows how to continuously export a weekly snapshot of regulatory compliance data.

Napiwek

Możesz również ręcznie wyeksportować raporty o pojedynczym punkcie w czasie bezpośrednio z poziomu pulpitu nawigacyjnego zgodności z przepisami. Wygeneruj te raporty PDF/CSV lub raporty certyfikacji platformy Azure i usługi Dynamics przy użyciu opcji paska narzędzi Pobierz raport lub Raporty inspekcji.

Wyzwalanie przepływu pracy w przypadku zmiany ocen

funkcja automatyzacji przepływu pracy Defender dla Chmury może wyzwalać usługę Logic Apps za każdym razem, gdy jedna z ocen zgodności z przepisami zmienia stan.

Na przykład możesz chcieć Defender dla Chmury wysłać wiadomość e-mail do określonego użytkownika, gdy ocena zgodności zakończy się niepowodzeniem. Najpierw należy utworzyć aplikację logiki (przy użyciu usługi Azure Logic Apps), a następnie skonfigurować wyzwalacz w nowej automatyzacji przepływu pracy zgodnie z wyjaśnieniem w temacie Automatyzowanie odpowiedzi na wyzwalacze Defender dla Chmury.

Screenshot that shows how to use changes to regulatory compliance assessments to trigger a workflow automation.

Następne kroki

Aby dowiedzieć się więcej, zobacz następujące powiązane strony: