Hantera säkerhetsprinciper

Den här sidan förklarar hur säkerhetsprinciper konfigureras och hur du visar dem i Microsoft Defender för molnet.

Information om relationerna mellan initiativ, principer och rekommendationer finns i Vad är säkerhetsprinciper, initiativ och rekommendationer?

Vem kan redigera säkerhetsprinciper?

Defender för molnet använder rollbaserad åtkomstkontroll i Azure (Azure RBAC), som tillhandahåller inbyggda roller som du kan tilldela till Azure-användare, grupper och tjänster. När användarna öppnar Defender för molnet ser de bara information som är relaterad till de resurser som de kan komma åt. Det innebär att användarna tilldelas rollen som ägare, deltagare eller läsare till resursens prenumeration. Det finns också två specifika Defender for Cloud-roller:

  • Säkerhetsläsare: Har behörighet att visa Defender for Cloud-objekt som rekommendationer, aviseringar, principer och hälsa. Det går inte att göra ändringar.
  • Säkerhetsadministratör: Har samma vyrättigheter som säkerhetsläsaren. Kan också uppdatera säkerhetsprincipen och stänga aviseringar.

Du kan redigera säkerhetsprinciper via Azure Policy-portalen, via REST API eller med hjälp av Windows PowerShell.

Hantera dina säkerhetsprinciper

Så här visar du dina säkerhetsprinciper i Defender för molnet:

  1. Öppna sidan Miljöinställningar i Defender för molnets meny. Här kan du se hanteringsgrupper, prenumerationer och de initiativ som tillämpas på var och en.

  2. Välj den relevanta prenumerationen eller hanteringsgruppen vars principer du vill visa.

  3. Öppna sidan Säkerhetsprincip .

  4. Sidan säkerhetsprincip för den prenumerationen eller hanteringsgruppen visas. Den visar tillgängliga och tilldelade principer.

    Defender för molnets säkerhetsprincipsida

    Anteckning

    Om det finns en etikett "MG Inherited" tillsammans med ditt standardinitiativ innebär det att initiativet har tilldelats till en hanteringsgrupp och ärvts av den prenumeration som du visar.

  5. Välj bland de tillgängliga alternativen på den här sidan:

    1. Om du vill arbeta med branschstandarder väljer du Lägg till fler standarder. Mer information finns i Anpassa uppsättningen standarder på instrumentpanelen för regelefterlevnad.

    2. Om du vill tilldela och hantera anpassade initiativ väljer du Lägg till anpassade initiativ. Mer information finns i Använda anpassade säkerhetsinitiativ och principer.

    3. Om du vill visa och redigera standardinitiativet väljer du det och fortsätter enligt beskrivningen nedan.

      Skärmen Effektiv princip.

      Skärmen Säkerhetsprincip visar den åtgärd som vidtagits av de principer som tilldelats för den prenumeration eller hanteringsgrupp som du har valt.

      • Använd länkarna längst upp för att öppna en principtilldelning som gäller för prenumerationen eller hanteringsgruppen. Med de här länkarna kan du komma åt tilldelningen och redigera eller inaktivera principen. Om du till exempel ser att en viss principtilldelning effektivt nekar slutpunktsskydd använder du länken för att redigera eller inaktivera principen.

      • I listan över principer kan du se den effektiva tillämpningen av principen för din prenumeration eller hanteringsgrupp. Inställningarna för varje princip som gäller för omfånget beaktas och det kumulativa resultatet av åtgärder som vidtas av principen visas. Om till exempel i en tilldelning av principen är inaktiverad, men i en annan är inställd på AuditIfNotExist, gäller den kumulativa effekten AuditIfNotExist. Den mer aktiva effekten har alltid företräde.

      • Principens effekt kan vara: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. Mer information om hur effekter tillämpas finns i Förstå principeffekter.

      Anteckning

      När du visar tilldelade principer kan du se flera tilldelningar och du kan se hur varje tilldelning konfigureras på egen hand.

Inaktivera säkerhetsprinciper och inaktivera rekommendationer

När ditt säkerhetsinitiativ utlöser en rekommendation som inte är relevant för din miljö kan du förhindra att rekommendationen visas igen. Inaktivera den specifika princip som genererar rekommendationen om du vill inaktivera en rekommendation.

Rekommendationen som du vill inaktivera visas fortfarande om den krävs för en regelstandard som du har tillämpat med Defender för molnets verktyg för regelefterlevnad. Även om du har inaktiverat en princip i det inbyggda initiativet utlöser en princip i regelstandardens initiativ fortfarande rekommendationen om det är nödvändigt för efterlevnad. Du kan inte inaktivera principer från regelstandardinitiativ.

Mer information om rekommendationer finns i Hantera säkerhetsrekommendationer.

  1. Öppna sidan Miljöinställningar i Defender för molnets meny. Här kan du se hanteringsgrupper, prenumerationer och de initiativ som tillämpas på var och en.

  2. Välj den prenumeration eller hanteringsgrupp som du vill inaktivera rekommendationen för (och principen).

    Anteckning

    Kom ihåg att en hanteringsgrupp tillämpar sina policyer på prenumerationerna i den. Om du inaktiverar en policy för en prenumeration och prenumerationen tillhör en hanteringsgrupp som fortfarande använder samma policy så fortsätter du att få tillhörande rekommendationer. Policyn tillämpas fortfarande från hanteringsnivån och rekommendationerna fortsätter att genereras.

  3. Öppna sidan Säkerhetsprincip .

  4. I avsnitten Standardinitiativ eller Dina anpassade initiativ väljer du det relevanta initiativ som innehåller den princip som du vill inaktivera.

  5. Öppna avsnittet Parametrar och sök efter principen som anropar den rekommendation som du vill inaktivera.

  6. I listrutan ändrar du värdet för motsvarande princip till Inaktiverad.

    inaktivera princip.

  7. Välj Spara.

    Anteckning

    Ändringen kan ta upp till 12 timmar att börja gälla.

Aktivera en säkerhetsprincip

Vissa principer i dina initiativ kan inaktiveras som standard. I Azure Security Benchmark-initiativet tillhandahålls till exempel vissa principer som du bara kan aktivera om de uppfyller ett specifikt regel- eller efterlevnadskrav för din organisation. Sådana principer innehåller rekommendationer för att kryptera vilande data med kundhanterade nycklar, till exempel "Containerregister ska krypteras med en kundhanterad nyckel (CMK)".

Så här aktiverar du en inaktiverad princip och ser till att den utvärderas för dina resurser:

  1. Öppna sidan Miljöinställningar i Defender för molnets meny. Här kan du se hanteringsgrupper, prenumerationer och de initiativ som tillämpas på var och en.

  2. Välj den prenumeration eller hanteringsgrupp som du vill aktivera rekommendationen för (och principen för).

  3. Öppna sidan Säkerhetsprincip .

  4. I avsnitten Standardinitiativ eller Dina anpassade initiativ väljer du det relevanta initiativet med den princip som du vill aktivera.

  5. Öppna avsnittet Parametrar och sök efter principen som anropar den rekommendation som du vill inaktivera.

  6. I listrutan ändrar du värdet för motsvarande princip till AuditIfNotExists eller Enforce.

  7. Välj Spara.

    Anteckning

    Ändringen kan ta upp till 12 timmar att börja gälla.

Nästa steg

På den här sidan förklaras säkerhetsprinciper. Relaterad information finns på följande sidor: