你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关云安全状况管理的常见问题 (CSPM)

Microsoft Defender for Cloud 的云安全主要支柱之一是云安全态势管理 (CSPM)。 CSPM 为你提供强化指南,帮助你高效且有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。

如果仅处理某个安全控制四分之三的建议,安全评分是否会变化?

否。 为单个资源修正所有建议后,它才会变化。 若要获得某个控制的最高分,必须为所有资源修正所有建议。

如果某个安全控制为安全评分贡献的分数为零,我应该忽略它吗?

在某些情况下,你会看到某个控制的最高分大于零,但影响为零。 如果通过修复资源增加的分数可忽略不计,则会将其舍入为零。 请勿忽略这些建议,因为它们仍然可以改善安全性。 唯一的例外是“其他最佳做法”控制。 修正这些建议不会提高分数,但会提高整体安全性。

扫描如何影响实例?

由于扫描过程是对快照进行带外分析,因此不会影响实际工作负载,并且对来宾操作系统不可见。

扫描如何影响帐户/订阅?

扫描过程对帐户和订阅造成的占用极少。

云提供商 更改
Azure - 添加“VM 扫描程序操作员”角色分配
- 添加具有用于管理扫描过程的相关配置的“vmScanners”资源
AWS - 添加角色分配
- 将获得授权的受众添加到 OpenIDConnect 提供者
- 快照是在扫描期间(通常持续几分钟)在同一帐户中已扫描卷的旁边创建的
GCP - 添加角色分配

什么是虚拟机 (VM) 扫描新鲜度?

每台 VM 每 24 小时会被扫描一次。

是否可以在资源组级别计算安全功能分数?

安全功能分数根据 Azure 订阅、AWS 帐户或 GCP 项目计算。 还可以查看管理范围内的安全功能分数,例如 Azure 管理组、AWS 管理帐户或 GCP 组织。 没有每个资源组的安全分数。