你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Defender for Cloud 中管理 MCSB 建议

Microsoft Defender for Cloud 根据安全标准评估资源。 默认情况下，当你将 Azure 订阅加入 Defender for Cloud 时，会启用 Microsoft 云安全基准 (MCSB) 标准。 Defender for Cloud 开始根据 MCSB 标准中的控制措施评估资源的安全态势，并根据评估结果发出安全建议。

本文介绍如何管理 MCSB 提供的建议。

开始之前

Defender for Cloud 中有两个特定角色可以查看和管理安全要素：

• 安全读取者：有权查看 Defender for Cloud 项（如建议、警报、策略和运行状况）。 无法执行更改。
• 安全管理员：与安全读取者具有相同的查看权限。 还可以更新安全策略并消除警报。

拒绝和强制实施建议

• “拒绝”用于防止部署不符合 MCSB 标准的资源。 例如，如果有一个“拒绝”控制措施指定新存储帐户必须满足特定的条件，那么，在不符合该条件的情况下，将无法创建存储帐户。

• 通过强制实施 ，可以利用 Azure Policy 中的 DeployIfNotExist 效果，并在创建时自动修正不符合的资源。

  注意

  “强制实施”和“拒绝”适用于 Azure 建议，并且支持一部分建议。

若要查看可以拒绝和强制实施的建议，请在“安全策略”页上的“标准”选项卡中，选择“Microsoft 云安全基准”并深入到建议中，以查看拒绝/强制操作是否可用。

管理建议设置

可以启用/禁用、拒绝和强制实施建议。

注意

如果禁用建议，则会免除其所有子命令。

1. 在 Defender for Cloud 门户中，打开“环境设置”页。

2. 选择要管理其建议的订阅或管理组。

3. 打开“安全策略”页，然后选择 MCSB 标准。 应打开标准。

4. 选择省略号 >“管理建议”。

   

5. 在相关建议旁边选择省略号菜单，然后选择“管理效果和参数”。

• 若要启用建议，请选择“审核”。
• 若要关闭建议，请选择“禁用”
• 若要拒绝或强制实施建议，请选择“拒绝”。

强制实施建议

只能从建议详细信息页强制实施建议。

1. 在 Defender for Cloud 门户中打开“建议”页，然后选择相关建议。

2. 在顶部菜单中选择“强制实施”。

   

3. 选择“保存”。

该设置会立即生效，但建议将根据更新间隔（最多 12 小时）进行更新。

修改附加参数

你可能想要为某些建议配置附加参数。 例如，诊断日志记录建议的默认保留期为一天。 可以更改该默认值。

在建议详细信息页中，“附加参数”列会指示建议是否具有关联的附加参数。

• 默认 – 建议使用默认配置运行
• 已配置 - 建议的配置已修改其默认值
• 无 – 建议不需要任何附加配置

1. 在 MCSB 建议旁边选择省略号菜单，然后选择“管理效果和参数”。

2. 在“附加参数”中，使用新值配置可用参数。

3. 选择“保存”。

   

如果要还原更改，请选择“重置为默认值”以还原建议的默认值。

识别潜在冲突

如果有多个标准分配使用不同的值，则可能会引发冲突。

1. 若要识别效果操作中的冲突，请在“添加”中，选择“效果冲突”>“有冲突”来识别任何冲突。

   

2. 若要识别附加参数中的冲突，请在“添加”中，选择“附加参数冲突”>“有冲突”来识别任何冲突。

3. 如果发现冲突，请在“建议设置”中选择所需的值并保存。

范围内的所有分配都将与新设置保持一致，从而解决冲突。

后续步骤

此页介绍了安全策略。 如需相关信息，请参阅以下页面：

• 了解如何使用 PowerShell 设置策略
• 了解如何在 Azure Policy 中编辑安全策略
• 了解如何使用 Azure Policy 跨订阅或在管理组上设置策略
• 了解如何在管理组中的所有订阅上启用 Defender for Cloud