Öka reparationen med styrningsregler

  • Artikel

Säkerhetsteamet ansvarar för att förbättra säkerhetsstatusen, men gruppmedlemmar kanske inte implementerar säkerhetsrekommendationer.

Genom att använda styrningsregler som drivs av säkerhetsteamet kan du driva ansvar och ett serviceavtal kring reparationsprocessen.

Om du vill veta mer kan du titta på det här avsnittet av Defender för molnet i videoserien Field.

Styrningsregler

Du kan definiera regler som tilldelar en ägare och ett förfallodatum för att hantera rekommendationer för specifika resurser. Detta ger resursägare en tydlig uppsättning uppgifter och tidsgränser för att åtgärda rekommendationer.

För spårning kan du granska förloppet för reparationsuppgifterna efter prenumeration, rekommendation eller ägare så att du kan följa upp med uppgifter som behöver mer uppmärksamhet.

  • Styrningsregler kan identifiera resurser som kräver reparation enligt specifika rekommendationer eller allvarlighetsgrad.
  • Regeln tilldelar en ägare och förfallodatum för att säkerställa att rekommendationerna hanteras. Många styrningsregler kan tillämpas på samma rekommendationer, så regeln med lägre prioritet är den som tilldelar ägaren och förfallodatumet.
  • Förfallodatumet för rekommendationen som ska åtgärdas baseras på en tidsram på 7, 14, 30 eller 90 dagar från det att rekommendationen hittas av regeln.
  • Om regeln till exempel identifierar resursen den 1 mars och reparationstiden är 14 dagar är den 15 mars förfallodatumet.
  • Du kan tillämpa en respitperiod så att de resurser som ges ett förfallodatum inte påverkar din säkerhetspoäng.
  • Du kan också ange ägaren till de resurser som påverkas av de angivna rekommendationerna.
  • I organisationer som använder resurstaggar för att associera resurser med en ägare kan du ange taggnyckeln och styrningsregeln läser namnet på resursägaren från taggen.
  • Ägaren visas som ospecificerad när ägaren inte hittades på resursen, den associerade resursgruppen eller den associerade prenumerationen baserat på den angivna taggen.
  • Som standard skickas e-postaviseringar till resursägarna varje vecka för att tillhandahålla en lista över uppgifter i tid och förfallna uppgifter.
  • Om ett e-postmeddelande för ägarens chef hittas i organisationens Microsoft Entra-ID får ägarens chef ett e-postmeddelande varje vecka som visar eventuella försenade rekommendationer som standard.
  • Motstridiga regler tillämpas i prioritetsordning. Regler för ett hanteringsomfång (Azure-hanteringsgrupper, AWS-konton och GCP-organisationer) börjar till exempel gälla före regler för omfång (till exempel Azure-prenumerationer, AWS-konton eller GCP-projekt).

Innan du börjar

  • CsPM-planen (Cloud Security Posture Management) måste vara aktiverad.
  • Du behöver behörigheter som deltagare, säkerhetsadministratör eller ägare för Azure-prenumerationerna.
  • För AWS-konton och GCP-projekt behöver du behörigheter som deltagare, säkerhetsadministratör eller ägare för Defender för molnet AWS- eller GCP-anslutningsappar.

Definiera en styrningsregel

Du kan definiera en styrningsregel på följande sätt:

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för molnet> Konfigurationsinställningar>Styrningsregler.

  3. Välj Skapa styrningsregel.

    Screenshot of page for adding a governance rule.

  4. Ange ett regelnamn och omfång där regeln ska tillämpas.

    • Regler för hanteringsomfång (Azure-hanteringsgrupper, AWS-huvudkonton, GCP-organisationer) tillämpas före reglerna i ett enda omfång.
    • Du kan definiera undantag inom omfånget efter behov.

  5. Ange en prioritetsnivå.

    Regler körs i prioritetsordning från den högsta (1) till den lägsta (1 000).

  6. Ange en beskrivning som hjälper dig att identifiera regeln.

  7. Välj Nästa

  8. Ange hur rekommendationer påverkas av regeln.

    • Efter allvarlighetsgrad – Regeln tilldelar ägaren och förfallodatumet till alla rekommendationer i prenumerationen som inte redan har tilldelats dem.
    • Efter specifika rekommendationer – Välj de specifika inbyggda eller anpassade rekommendationer som regeln gäller för.

    Screenshot of page for adding conditions for a governance rule.

  9. Ange ägaren för att ange vem som är ansvarig för att åtgärda rekommendationer som omfattas av regeln.

    • Efter resurstagg – Ange resurstaggen för dina resurser som definierar resursägaren.
    • Via e-postadress – Ange e-postadressen till ägaren som ska tilldelas rekommendationerna.

  10. Ange en tidsram för reparation för att ange den tid som kan förflutit mellan när resurser identifieras som kräver reparation och den tid då reparationen är klar.

    Om du vill ha rekommendationer från MCSB väljer du Tillämpa respitperiod om du inte vill att resurserna ska påverka din säkerhetspoäng förrän de är förfallna.

  11. (Valfritt) Som standard meddelas ägare och deras chefer varje vecka om öppna och försenade uppgifter. Om du inte vill att de ska få dessa veckovisa e-postmeddelanden avmarkerar du aviseringsalternativen.

  12. Välj Skapa.

Om det finns befintliga rekommendationer som matchar definitionen av styrningsregeln kan du antingen:

  • Tilldela en ägare och förfallodatum till rekommendationer som inte redan har en ägare eller förfallodatum.

  • Skriv över ägaren och förfallodatumet för befintliga rekommendationer.

När du tar bort eller inaktiverar en regel finns alla befintliga tilldelningar och meddelanden kvar.

Visa effektiva regler

Du kan visa effekten av myndighetsregler i din miljö.

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för molnet> Konfigurationsinställningar>Styrningsregler.

  3. Granska styrningsregler. Standardlistan visar alla styrningsregler som gäller i din miljö.

  4. Du kan söka efter regler eller filtrera regler.

    • Filtrera efter miljö för att identifiera regler för Azure, AWS och GCP.

    • Filtrera på regelnamn, ägare eller tid mellan rekommendationen som utfärdas och förfallodatum.

    • Filtrera på respitperiod för att hitta MCSB-rekommendationer som inte påverkar din säkerhetspoäng.

    • Identifiera efter status.

      Screenshot of page for viewing and filtering rules.

Granska styrningsrapporten

Med styrningsrapporten kan du välja prenumerationer som har styrningsregler och för varje regel och ägare visar du hur många rekommendationer som har slutförts, i tid, förfallna eller ej tilldelade.

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för molnet> Miljöinställningar>Styrningsregler>Styrningsrapport.

    Screenshot of the governance rules page that shows where the governance report button is located.

  3. Välj en prenumeration.

    Screenshot of governance status by rule and owner in the governance workbook.

Från styrningsrapporten kan du öka detaljnivån i rekommendationer efter omfång, visningsnamn, prioritet, reparationstid, ägartyp, ägarinformation, respitperiod och moln.

Gå vidare

Lär dig hur du implementerar säkerhetsrekommendationer.