Lägga till anpassade initiativ i Microsoft Defender för molnet

  • 7 minuter

Vad är säkerhetsprinciper, initiativ

Microsoft Defender för molnet tillämpar säkerhetsinitiativ på dina prenumerationer. Dessa initiativ innehåller en eller flera säkerhetsprinciper. Var och en av dessa principer resulterar i en säkerhetsrekommendations för att förbättra din säkerhetsstatus.

Vad är ett säkerhetsinitiativ?

Ett säkerhetsinitiativ är en samling Azure Policy-definitioner eller regler som grupperas tillsammans mot ett specifikt mål eller syfte. Säkerhetsinitiativ förenklar hanteringen av dina principer genom att gruppera en uppsättning principer logiskt som ett enda objekt.

Ett säkerhetsinitiativ definierar önskad konfiguration av dina arbetsbelastningar och hjälper dig att uppfylla säkerhetskraven för ditt företag eller tillsynsmyndigheter.

Precis som säkerhetsprinciper skapas även Defender för molnet initiativ i Azure Policy. Du kan använda Azure Policy för att hantera dina principer, skapa initiativ och tilldela initiativ till flera prenumerationer eller hela hanteringsgrupper.

Standardinitiativet som tilldelas automatiskt till varje prenumeration i Microsoft Defender för molnet är Microsofts prestandamått för molnsäkerhet. Det här riktmärket är den Microsoft-skapade uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Detta allmänt respekterade riktmärke bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.

Defender för molnet erbjuder följande alternativ för att arbeta med säkerhetsinitiativ och principer:

  • Visa och redigera det inbyggda standardinitiativet – När du aktiverar Defender för molnet tilldelas initiativet "Microsoft cloud security benchmark" automatiskt till alla Defender för molnet registrerade prenumerationer. Om du vill anpassa det här initiativet kan du aktivera eller inaktivera enskilda principer i det genom att redigera en princips parametrar.
  • Lägg till egna anpassade initiativ – Om du vill anpassa de säkerhetsinitiativ som tillämpas på din prenumeration kan du göra det inom Defender för molnet. Sedan får du rekommendationer om dina datorer inte följer de principer som du skapar.
  • Lägg till standarder för regelefterlevnad som initiativ – Defender för molnet instrumentpanel för regelefterlevnad visar status för alla utvärderingar i din miljö inom ramen för en viss standard eller förordning (till exempel Azure Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) Special Publications (SP) SP 800-53 Rev.4, Swifts CSP(Customer Security Program) Call Session Control Function (CSCF) v2020).

Exempel: Inbyggt säkerhetsinitiativ

Skärmbild som visar ett exempel på CIS Microsoft Azure Foundations Benchmark.

Vad är en säkerhetsprincip?

En Azure Policy-definition, skapad i Azure Policy, är en regel om specifika säkerhetsvillkor som du vill styra. Inbyggda definitioner omfattar saker som att styra vilken typ av resurser som kan distribueras eller framtvinga användningen av taggar på alla resurser. Du kan också skapa egna anpassade principdefinitioner.

Om du vill implementera dessa principdefinitioner (oavsett om de är inbyggda eller anpassade) måste du tilldela dem. Du kan tilldela de här principerna via Azure-portalen, PowerShell eller Azure CLI. Principer kan inaktiveras eller aktiveras från Azure Policy.

Det finns olika typer av principer i Azure Policy. Defender för molnet använder främst granskningsprinciper som kontrollerar specifika villkor och konfigurationer och sedan rapporterar om efterlevnad. Det finns också Framtvinga principer som kan användas för att tillämpa säkerhetsinställningar.

Exempel: Inbyggd säkerhetsprincip

Skärmbild som visar ett exempel på en grundläggande principdefinition för att granska virtuella datorer utan hanterade diskar.

Defender för molnet använder rollbaserad åtkomstkontroll i Azure (Azure RBAC), som tillhandahåller inbyggda roller som du kan tilldela till Azure-användare, grupper och tjänster. När användarna öppnar Defender för molnet ser de bara information som är relaterad till de resurser som de kan komma åt. Användare tilldelas rollen ägare, deltagare eller läsare till resursens prenumeration.

Det finns två specifika roller för Defender för molnet:

  1. Säkerhetsadministratör: Har samma vyrättigheter som säkerhetsläsaren. Kan också uppdatera säkerhetsprincipen och stänga aviseringar.
  2. Säkerhetsläsare: Har behörighet att visa Defender för molnet objekt som rekommendationer, aviseringar, principer och hälsa. Det går inte att göra ändringar.

Diagram som visar vilken säkerhetsroll som kan visa, uppdatera och stänga aviseringar.

Du kan redigera säkerhetsprinciper via Azure Policy-portalen via REST API (Representational State Transfer Application Programming Interface) eller med Hjälp av Windows PowerShell.

Skärmen Säkerhetsprincip visar den åtgärd som vidtas av de principer som tilldelats till den prenumeration eller hanteringsgrupp som du har valt.

  • Använd länkarna längst upp för att öppna en principtilldelning som gäller för prenumerationen eller hanteringsgruppen. Med de här länkarna kan du komma åt tilldelningen och redigera eller inaktivera principen. Om du till exempel ser att en viss principtilldelning effektivt nekar slutpunktsskydd använder du länken för att redigera eller inaktivera principen.
  • I listan över principer kan du se den effektiva tillämpningen av principen för din prenumeration eller hanteringsgrupp. Inställningarna för varje princip som gäller för omfånget beaktas och det kumulativa resultatet av åtgärder som vidtas av principen visas. Om till exempel en tilldelning av principen är inaktiverad, men i en annan är den inställd på AuditIfNotExist, så gäller den kumulativa effekten AuditIfNotExist. Den mer aktiva effekten har alltid företräde.
  • Principens effekt kan vara: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists eller Disabled.