適用於雲端的 Defender 中的安全性原則
適用於雲端的 Microsoft Defender 中的安全策略包含安全性標準和建議,可協助您改善雲端安全性態勢。
安全性標準會定義規則、這些規則的合規性條件,以及不符合條件時所要採取的動作 (效果)。 適用於雲端的 Defender 會根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中啟用的安全性標準來評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟,以協助您補救安全性問題。
安全性標準
適用於雲端的 Defender 中的安全性標準來自下列來源:
Microsoft 雲端安全性效能評定 (MCSB):當您將雲端帳戶上線至 Defender 時,預設會套用 MCSB 標準。 您的安全分數是根據一些 MCSB 建議的評量。
法規合規性標準:當您啟用一或多個適用於雲端的 Defender 方案時,可以從各種預先定義的法規合規性計劃新增標準。
自訂標準:您可以在適用於雲端的 Defender 中建立自訂安全性標準,然後視需要將內建和自訂建議新增至這些自訂標準。
適用於雲端的 Defender 中的安全性標準是以 Azure 原則倡議或適用於雲端的 Defender 原生平台為基礎。 目前,Azure 標準是以 Azure 原則為基礎。 AWS 和 GCP 標準是以適用於雲端的 Defender 為基礎。
使用安全性標準
以下是您可以在適用於雲端的 Defender 中使用安全性標準的動作:
修改訂用帳戶的內建 MCSB:當您啟用適用於雲端的 Defender 時,MCSB 會自動指派給所有適用於雲端的 Defender 註冊訂用帳戶。 深入瞭解管理 MCSB 標準。
新增法規合規性標準:如果您已啟用一或多個付費方案,則可以指派內建合規性標準,以評估您的 Azure、AWS 和 GCP 資源。 深入了解指派法規標準。
新增自定義標準:如果您已啟用至少一個付費 Defender 方案,您可以在 適用於雲端的 Defender 入口網站中定義新的自定義標準和自定義建議。 然後,您可以將建議新增至這些標準。
自訂標準
自訂標準會與法規合規性儀表板中的內建標準一起顯示。
針對自訂標準衍生自評量的建議,會與來自內建標準的建議一起出現。 自訂標準可以包含內建和自訂建議。
自訂建議
具有 Azure 訂用帳戶的所有客戶都可以根據 Azure 原則 建立自定義建議。 透過 Azure 原則,您可以建立原則定義、將其指派給原則計劃,並將該方案與原則合併至 適用於雲端的 Defender。
以 Kusto 查詢語言 為基礎的自定義建議適用於所有雲端,但需要啟用 Defender CSPM 方案。 透過這些建議,您可以指定唯一的名稱、描述、補救步驟、嚴重性,以及應指派建議的標準。 您會使用 KQL 新增建議邏輯。 查詢編輯器提供內建的查詢範本,您可以視需要進行調整,也可以從頭開始撰寫 KQL 查詢。
如需詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中建立自定義安全性標準和建議。
安全性建議
適用於雲端的 Defender 會定期且持續分析及評估受保護資源的安全性狀態,以根據定義的安全性標準,找出潛在的安全性設定錯誤和弱點。 然後,適用於雲端的 Defender 會根據評量結果提供建議。
每個建議都會提供下列資訊:
- 問題的簡短描述
- 實作建議的補救步驟
- 受影響的資源
- 風險等級
- 風險因素
- 攻擊路徑
適用於雲端的 Defender 中每個建議都有相關聯的風險層級,代表安全性問題的惡意探索和影響程度。 風險評量引擎會考慮網際網路暴露、資料敏感度、橫向移動可能性,以及攻擊路徑補救等因素。 您可以根據建議的風險層級來排定建議的優先順序。
重要
風險優先順序 不會影響安全分數。
範例
MCSB 標準是包含多個合規性控制的 Azure 原則倡議。 這些控制項其中之一是「儲存體帳戶應該使用虛擬網路規則來限制網路存取。」
適用於雲端的 Defender 會持續評估資源。 如果它發現任何不符合此控件,則會將它們標示為不符合規範,並觸發建議。 在此情況下,指引是強化未受虛擬網路規則保護的 Azure 儲存體帳戶。