Политики безопасности в Defender для облака

  • Статья

Политики безопасности в Microsoft Defender для облака состоят из стандартов безопасности и рекомендаций, которые помогают улучшить состояние облачной безопасности.

  • Стандарты безопасности: стандарты безопасности определяют правила, условия соответствия этим правилам и действия (эффекты), которые необходимо предпринять, если условия не выполнены.
  • Рекомендации по безопасности. Ресурсы и рабочие нагрузки оцениваются по стандартам безопасности, включенным в подписках Azure, учетных записях AWS и проектах GCP. На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

Стандарты безопасности

Стандарты безопасности в Defender для облака приходят из нескольких источников:

  • Microsoft Cloud Security Benchmark (MCSB). Стандарт MCSB применяется по умолчанию при подключении Defender для облака к группе управления или подписке. Оценка безопасности основана на оценке некоторых рекомендаций MCSB. Подробнее.
  • Стандарты соответствия нормативным требованиям. Помимо MCSB, при включении одного или нескольких планов Defender для облака можно добавить стандарты из широкого спектра предопределенных программ соответствия нормативным требованиям. Подробнее.
  • Пользовательские стандарты. Вы можете создавать настраиваемые стандарты безопасности в Defender для облака и добавлять встроенные и пользовательские рекомендации в эти настраиваемые стандарты по мере необходимости.

Стандарты безопасности в Defender для облака основаны на Политика Azure initiatives или на собственной платформе Defender для облака. На момент написания статьи (ноябрь 2023 г.) стандарты AWS и GCP Defender для облака платформы, а стандарты Azure в настоящее время основаны на Политика Azure.

Стандарты безопасности в Defender для облака упрощают сложность Политика Azure. В большинстве случаев вы можете работать непосредственно со стандартами безопасности и рекомендациями на портале Defender для облака без необходимости напрямую настраивать Политика Azure.

Работа со стандартами безопасности

Вот что можно сделать с стандартами безопасности в Defender для облака:

  • Измените встроенный MCSB для подписки. При включении Defender для облака mcSB автоматически назначается всем зарегистрированным подпискам Defender для облака.

  • Добавьте стандарты соответствия нормативным требованиям . Если у вас есть один или несколько платных планов, можно назначить встроенные стандарты соответствия, с которыми можно оценить ресурсы Azure, AWS и GCP. Дополнительные сведения о назначении нормативных стандартов

  • Добавьте настраиваемые стандарты. Если у вас включен хотя бы один платный план Defender, вы можете определить новые стандарты Azure, AWS и GCP на портале Defender для облака и добавить в них рекомендации.

Пользовательские стандарты

Вы можете создавать настраиваемые стандарты для ресурсов Azure, AWS и GCP.

  • Пользовательские стандарты отображаются вместе со встроенными стандартами на панели мониторинга соответствия нормативным требованиям.
  • Рекомендации, полученные от оценок по пользовательским стандартам, отображаются вместе с рекомендациями из встроенных стандартов.
  • Пользовательские стандарты могут содержать встроенные и пользовательские рекомендации.

Рекомендации по обеспечению безопасности

Defender для облака периодически и непрерывно анализирует и оценивает состояние безопасности защищенных ресурсов в соответствии с определенными стандартами безопасности, чтобы определить потенциальные неправильные конфигурации и недостатки безопасности. На основе результатов оценки рекомендации предоставляют сведения о проблемах и предлагают действия по исправлению.

Каждая рекомендация предоставляет следующие сведения:

  • краткое описание проблемы;
  • действия по исправлению, которые необходимо выполнить для применения рекомендации;
  • затрагиваемые ресурсы.
  • Уровень риска
  • Факторы риска
  • Пути атаки

Каждая рекомендация в Defender для облака имеет связанный уровень риска, который представляет, как эксплойтируемый и влияющий на проблему безопасности в вашей среде. Подсистема оценки рисков учитывает такие факторы, как воздействие Интернета, конфиденциальность данных, возможности бокового перемещения, исправление путей атаки и многое другое. Рекомендации можно определить приоритет на основе их уровней риска.

Примечание.

В настоящее время приоритет риска находится в общедоступной предварительной версии и поэтому не влияет на оценку безопасности.

Пример

  • Стандарт MCSB — это инициатива Политика Azure, которая включает несколько элементов управления соответствием. Одним из этих элементов управления является "служба хранилища учетные записи должны ограничить доступ к сети с помощью правил виртуальной сети".
  • Как Defender для облака постоянно оценивает и находит ресурсы, которые не удовлетворяют этому элементу управления, он помечает ресурсы как несоответствующие требованиям и активирует рекомендацию. В этом случае руководство заключается в защите учетных записей служба хранилища Azure, которые не защищены правилами виртуальной сети.

Настраиваемая рекомендация (Azure)

Чтобы создать пользовательские рекомендации для подписок Azure, в настоящее время необходимо использовать Политика Azure.

Вы создаете определение политики, назначаете его инициативе политики и объединяете эту инициативу и политику в Defender для облака. Подробнее.

Пользовательские рекомендации (AWS/GCP)

  • Чтобы создать пользовательские рекомендации для ресурсов AWS/GCP, необходимо включить план CSPM Defender.
  • Пользовательские стандарты служат логическим группированием для пользовательских рекомендаций. Пользовательские рекомендации можно назначить одному или нескольким пользовательским стандартам.
  • В пользовательских рекомендациях указывается уникальное имя, описание, шаги по исправлению, серьезности и стандартам, которым должна быть назначена рекомендация.
  • Вы добавляете логику рекомендаций с помощью KQL. Простой редактор запросов предоставляет встроенный шаблон запроса, который можно настроить по мере необходимости или создать запрос KQL с нуля.

Подробнее:

Следующие шаги