Настройка параметров облака для использования с диспетчером соответствия требованиям
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Настройка поддержки нескольких облаков
Диспетчер соответствия требованиям интегрируется с Microsoft Defender для облака для обеспечения поддержки нескольких облаков. Организации должны иметь хотя бы одну подписку в Microsoft Azure, а затем включить Defender для облака, чтобы диспетчер соответствия требованиям смог получать необходимые сигналы для мониторинга облачных служб. Получив Defender для облака, необходимо назначить подписки соответствующим отраслевым и нормативным стандартам.
В зависимости от того, что ваша организация уже настроила, перейдите к следующему разделу, который соответствует вашей ситуации, чтобы начать работу:
- У вас нет Azure: активируйте Azure и создайте подписку
- У вас есть Azure, но у вас нет Defender для облака: включение Defender для облака в подписке Azure
- У вас есть Defender для облака, но вы не назначили стандарты: назначьте стандарты подпискам облачных служб
Стандарты, поддерживаемые диспетчером соответствия требованиям и Defender для облака
Перечисленные ниже стандарты или правила поддерживаются в Defender для облака и диспетчере соответствия требованиям. Каждый стандарт доступен для поддержки Microsoft 365 в дополнение к другим облачным службам, перечисленным в скобках.
Совет
Defender для облака ссылается на "стандарты", в то время как диспетчер соответствия требованиям использует "правила" для ссылки на то же самое.
- Рекомендации по базовой безопасности AWS
- CIS 1.1.0 (GCP)
- CIS Microsoft Azure Foundations Benchmark версии 1.1.0 (Azure)
- CIS 1.2.0 (AWS, GCP)
- CIS Microsoft Azure Foundations Benchmark версии 1.3.0 (Azure)
- CIS Microsoft Azure Foundations Benchmark версии 1.4.0 (Azure)
- FedRAMP High (Azure)
- FedRAMP Moderate (Azure)
- ISO 27001 (Azure, GCP)
- NIST SP 800-171 ред.2 (Azure)
- NIST SP 800-53 ред.4 (Azure)
- NIST SP 800 53 Rev.5 (Azure, AWS, GCP)
- PCI DSS 3.2.1 (AWS, GCP)
- PCI DSS версии 4.0 (Azure)
- SOC 2 тип 2 (Azure)
- SWIFT CSP-CDCF версии 2022 (Azure)
Активация Azure и создание подписки
Настройка подписки в Microsoft Azure является необходимым условием для начала работы с Defender для облака. Если у вас нет подписки, вы можете зарегистрироваться для получения бесплатной учетной записи.
Включение Defender для облака
См. краткое руководство. Настройка Microsoft Defender для облака. Выполните действия, чтобы включить Defender для облака в подписке Azure и ознакомиться со страницей Обзор Defender для облака. После включения Defender для облака выполните следующие дополнительные действия, чтобы убедиться, что вы настроили интеграцию диспетчера соответствия требованиям.
Для большинства функций установки требуется, чтобы пользователь держал роль владельца в Azure. Дополнительные сведения о ролях пользователей и разрешениях для Defender для облака.
Подтверждение доступа к нормативным требованиям Defender для облака
Перейдите к Microsoft Defender для облака | Соответствие нормативным требованиям.
Убедитесь, что отображается панель мониторинга, подобная следующему:
Если вы не видите панель мониторинга выше и вместо этого видите уведомление о недостаточном лицензировании, следуйте инструкциям, чтобы активировать применимый план Defender для облака. Мы рекомендуем включить один из этих двух планов: базовый CSPM или Defender CSPM, которые в настоящее время бесплатны для использования и предоставляют достаточные функциональные возможности (см. дополнительные сведения об этих планах). Вы можете выбрать планы вручную, выполнив следующие действия.
- В Defender для облака выберите Параметры среды в области навигации слева.
- Выберите Azure в списке сред. Разверните элемент под Azure , чтобы просмотреть подписку, а затем выберите подписку. Вы перейдете на страницу планов Defender .
- В столбце План найдите строки для базового CSPM и Defender CSPM. В строке Состояние нажмите кнопку Вкл . для обоих планов.
Просмотр доступных сред
В Defender для облака выберите Параметры среды в области навигации слева.
Просмотрите доступные среды и подписки, которые в настоящее время отображаются в MDC для вашего клиента. Для просмотра подписок может потребоваться развернуть группы управления, что можно сделать, выбрав Развернуть все под панелью поиска. Помимо подписок Azure, вы также увидите все проекты Google Cloud Platform (GCP) или учетные записи Amazon Web Services (AWS), подключенные к Defender для облака.
Если вы не видите ожидаемую подписку и уже подтвердили лицензирование Defender для облака на предыдущих шагах, проверка фильтры текущего каталога и подписки в параметрах портала Azure. В этом представлении можно настроить любые фильтры подписки или переключиться в другой каталог, если он доступен, а затем вернуться в представление параметров среды, чтобы проверка результатов.
Если вы не видите ожидаемую среду, учетную запись или проект AWS или GCP, перейдите к следующему шагу, чтобы настроить необходимые соединители.
Подключение к учетным записям Amazon Web Services или Google Cloud Provider (необязательно)
Следуйте этим инструкциям, если у вас есть учетная запись Amazon Web Services (AWS) или проект Google Cloud Platform (GCP), который требуется, чтобы диспетчер соответствия требованиям оценил состояние соответствия требованиям, и вы еще не видите эти учетные записи или проекты в параметрах Среды Azure. После завершения этого процесса вы можете назначить стандарты подключенным подпискам AWS или GCP в течение часа, хотя полные данные могут появиться до 24 часов.
В Defender для облака выберите Параметры среды в области навигации слева.
Выберите Добавить среду и выберите Amazon Web Services или Google Cloud Platform.
Выполните действия мастера, чтобы завершить настройку учетной записи. Для подключения к учетным записям требуются разрешения администратора в используемых учетных записях AWS или GCP, а также некоторые действия по настройке в AWS или GCP. Эти действия подробно описаны в мастере.
- Для простого варианта настройки рекомендуется начать только с одной учетной записи, например GCP. На первом шаге в разделе Сведения об учетной записи в разделе Подключение выберите Отдельная учетная запись. Для этого параметра требуется наименьший объем усилий по настройке.
Добавление стандартов в подписки
Проверьте список стандартов, поддерживаемых Defender для облака и диспетчером соответствия требованиям , чтобы убедиться, что нужный стандарт поддерживается. Затем выполните указанные ниже действия.
В Defender для облака выберите Параметры среды в области навигации слева.
Доступные среды и подписки будут перечислены на странице. Для просмотра подписок может потребоваться развернуть группы управления, что можно сделать, выбрав Развернуть все под панелью поиска. Найдите подписку, в которую вы хотите добавить стандарт.
В строке подписки выберите многоточие справа и выберите Изменить параметры.
В области навигации слева в разделе Параметры политики выберите Политика безопасности.
Просмотрите список доступных стандартов в разделе Отраслевые & нормативные стандарты. Дополнительные стандарты можно просмотреть, нажав кнопку Добавить дополнительные стандарты в нижней части списка. Назначьте подписке по крайней мере один из поддерживаемых стандартов, перечисленных ниже, выбрав Включить в строке стандарта.