你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Cloud 中的安全策略
Microsoft Defender for Cloud 中的安全策略包括有助于改善云安全状况的安全标准和建议。
安全标准定义规则、这些规则的符合性条件,以及满足条件时要执行的操作(效果)。 Defender for Cloud 根据 Azure 订阅、Amazon Web Services (AWS) 帐户和 Google Cloud Platform (GCP) 项目中启用的安全标准来评估资源和工作负载。 根据这些评估,安全建议提供了实际步骤来帮助修正安全问题。
安全标准
Defender for Cloud 中的安全标准来自以下来源:
Microsoft 云安全性基准 (MCSB):将云帐户加入 Defender 时,会默认应用 MCSB 标准。 安全功能分数基于一些 MCSB 建议的评估。
法规符合性标准:启用一个或多个Defender for Cloud 计划时,可以从各种预定义的法规合规性计划中添加标准。
自定义标准:可以在 Defender for Cloud 中创建自定义安全标准,然后根据需要向这些自定义标准添加内置和自定义建议。
Defender for Cloud 中的安全标准基于 Azure Policy 计划或 Defender for Cloud 本机平台。 目前,Azure 标准是基于 Azure Policy 的。 AWS 和 GCP 标准基于 Defender for Cloud。
使用安全标准
下面是可以使用 Defender for Cloud 中的安全标准执行的操作:
修改订阅的内置 MCSB:启用 Defender for Cloud 时,会自动将 MCSB 分配给所有 Defender for Cloud 注册订阅。 详细了解如何管理 MCSB 标准。
添加法规合规性标准:如果启用了一个或多个付费计划,则可以分配用于评估 Azure、AWS 和 GCP 资源的内置合规性标准。 详细了解如何分配法规标准。
添加自定义标准:如果至少启用了一个付费 Defender 计划,则可以在 Defender for Cloud 门户中定义新的自定义标准和自定义建议。 然后,可以向这些标准添加建议。
自定义标准
自定义标准会与“法规合规性”仪表板中的内置标准一起显示。
从针对自定义标准的评估派生的建议与内置标准的建议一起出现。 自定义标准可以包含内置建议和自定义建议。
自定义建议
建议使用基于 Kusto 查询语言 (KQL) 的自定义建议,并且支持所有云,但需要启用 Defender CSPM 计划。 通过这些建议,可以指定唯一的名称、说明、修正步骤、严重性和相关标准。 使用 KQL 添加建议逻辑。 查询编辑器提供了一个内置查询模板,可以对其进行调整,也可以编写 KQL 查询。
或者,所有 Azure 客户都可以将其 Azure Policy 自定义计划作为自定义建议加入(旧方法)。
有关详细信息,请参阅在 Microsoft Defender for Cloud 中创建自定义安全标准和建议。
安全建议
Defender for Cloud 根据定义的安全标准定期持续地分析和评估受保护资源的安全状态,以确定潜在的安全配置错误和弱点。 然后,Defender for Cloud 会根据评估结果提供建议。
每项建议都提供以下信息:
- 问题的简短说明
- 实施建议的修正步骤
- 受影响的资源
- 风险级别
- 风险因素
- 攻击路径
Defender for Cloud 中的每个建议都有一个关联的风险级别,这些风险级别表示环境中存在安全漏洞的攻击性和影响程度。 风险评估引擎考虑了 Internet 暴露、数据敏感度、横向移动可能性和攻击路径修正等因素。 可以根据建议的风险级别确定建议的优先级。
重要
风险优先级不会影响安全功能分数。
示例
MCSB 标准是一项包含多个合规性控制措施的 Azure Policy 计划。 其中一项控制措施是“存储帐户应使用虚拟网络规则限制网络访问”。
Defender for Cloud 会持续评估资源。 如果发现任何内容不符合此控件,则会将其标记为不符合并触发建议。 在这种情况下,指导是强化不受虚拟网络规则保护的 Microsoft Azure 存储帐户。