你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全功能分数
Microsoft Defender for Cloud 中的安全功能分数可帮助评估和改进云安全状况。 安全功能分数将安全结果聚合为单个分数,以便你一目了然地了解当前安全状况。 分数越高,识别的风险级别越低。
在订阅中启用 Defender for Cloud 后,订阅中默认应用 Microsoft 云安全基准 (MCSB) 标准。 开始根据 MCSB 标准评估范围内的资源。
根据评估结果提出建议。 只有来自 MSCB 的内置建议才会影响安全功能分数。
注意
计算安全功能分数时不包括标记为“预览”的建议。 仍应尽可能按这些建议修正,以便在预览期结束时,它们会有助于提升评分。 预览建议标有:
注意
目前,风险优先级不会影响安全功能分数。
查看安全功能分数
查看 Defender for Cloud“概述”仪表板时,可以看到所有环境的安全功能分数。 安全功能分数显示为百分比值,但也会显示基础值。
在 Azure 移动应用中,安全功能分数显示为百分比值。 点击它可查看解释该分数的详细信息。
浏览安全状况
在 Defender for Cloud 中的“安全状况”页上,可以查看所有环境的总安全功能分数,以及每个环境的单独评分。
- 可以看到影响总体分数的订阅、帐户和项目、有关不正常资源的信息和相关建议。
- 可以按环境(Azure、AWS、GCP、Azure DevOps)进行筛选,并向下钻取到每个 Azure 订阅、AWS 帐户和 GCP 项目。
如何计算安全分数
在 Defender for Cloud 中的“建议”页 >“安全功能分数建议”选项卡,可以查看 MCSB 中的合规性控制对总体安全功能分数的影响。
每项控制针对每个 Azure 订阅或 AWS/GCP 云连接器每 8 小时计算一次。
重要
控件内的建议比控件更新的频率更高,因此建议的资源计数与控件上的资源计数之间可能存在差异。
控制的示例分数
在本例中,
| 字段 | 详细信息 |
|---|---|
| 修正漏洞 | 此控制对多个与发现和解决已知漏洞相关的建议进行分组。 |
| 最高分数 | 实现控制中的所有建议后可以获得的最高分数。 控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。 可使用最高分值来会审要优先处理的问题。 |
| 当前分数 | 此控制的当前分数。 当前分数 = [每个资源的分数] * [正常运行的资源数] 每个控制都为总分贡献分数。 在此示例中,该控制为当前安全功能总分贡献了 2.00 分。 |
| 潜在分数增加 | 控制中可提升的剩余分值。 如果实现此控制中的所有建议,分数增加 9%。 潜在分数增加 = [每个资源的分数] * [运行不正常的资源数] |
| Insights | 为你提供每个建议的额外详细信息,例如: - 预览建议 - 此建议在正式发布之前不会影响你的安全功能分数。-  修复 - 在“建议详细信息”页面中使用“修复”来解决此问题。-  强制执行 - 在“建议详细信息”页面中,当所创建资源不合规时,可以自动部署策略来解决此问题。-  拒绝 - 在“建议详细信息”页面中阻止创建具有此问题的新资源。 |
了解如何计算分数
下面介绍了如何计算分数。
安全控制的当前分数
每一个安全控制都计入安全分数。
受控制中的建议影响的每个资源都计入控制的当前分数。 安全功能分数不包括在预览版建议中找到的资源。
各个控制的当前分数是对该控制中资源状态的度量。
在此示例中,最高分 6 将除以 78,因为这是正常运行的资源和运行不正常的资源的总和。即 6/78 = 0.0769
将其乘以正常运行的资源数量 (4) 可得出当前分数:0.0769 * 4 = 0.31
安全功能分数 - 单个订阅或连接器
在此示例中,单个订阅或连接器启用了所有安全控制(可能的最高分为 60 分)。
该分数显示了可能的最高分 60 分中的 28 分,其余 32 分反映在安全控制的“可能增加的分数”数字中。
此公式与连接器的公式相同,只将“订阅”一词替换为“连接器”一词。
安全功能分数 - 多个订阅和连接器
多个订阅和连接器的组合分数将为每个订阅和连接器包括一个权重。
订阅和连接器的相对权重由 Defender for Cloud 根据资源数量等因素来确定。
每个订阅和连接器的当前分数的计算方式与单个订阅或连接器的计算方式相同,但会按公式所示应用权重。
查看多个订阅和连接器时,安全功能分数会计算所有已启用策略中的所有资源,并对其进行分组以显示它们如何共同影响每个安全控制的最高分数。
综合得分不是平均值,而是指所有订阅和连接器中所有资源状态的计算状况。
如果转到“建议”页并将可能得到的分数相加,你会发现结果是当前分数 (22) 与最高得分 (58) 之差。
提高安全功能分数
MCSB 包含一系列合规性控制,每个控制都是相关安全建议的逻辑组,并反映了易受攻击的攻击面。
若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。 请注意:
- 只有修正所有建议后,分数才会提高。
- 若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。
- 例如,Defender for Cloud 针对如何保护管理端口提供了多条建议。 需要修正所有建议,才能改变安全功能分数。
提高安全功能分数:
- 修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。
- 还可以强制实施或拒绝建议,以提高分数并确保用户不会创建对分数产生负面影响的资源。
安全功能分数控制
下表列出了 Microsoft Defender for Cloud 中的安全控制。 对于每个控制,可以看到为所有资源修正该控制中列出的所有建议后,安全评分可以增加的最高分数。
| 安全评分 | 安全控制 |
|---|---|
| 10 | 启用 MFA - Defender for Cloud 高度重视多重身份验证 (MFA)。 使用这些建议可保护订阅的用户。 可以通过三种方法来启用 MFA 并符合建议:安全默认值、每用户分配、条件访问策略。 了解详细信息 |
| 8 | 安全管理端口 - 暴力攻击通常以管理端口为目标。 使用这些建议可通过实时 VM 访问和网络安全组等工具减少暴露。 |
| 6 | 应用系统更新 - 不应用更新会留下未修补的漏洞,使环境容易受到攻击。 使用这些建议可保持运营效率、减少安全漏洞,并为最终用户提供更稳定的环境。 若要部署系统更新,可以使用更新管理解决方案来管理计算机的修补程序和更新。 |
| 4 | 修正安全配置 - 配置错误的 IT 资产受到攻击的风险更高。 使用这些建议可强化基础结构中识别的错误配置。 |
| 4 | 管理访问和权限 - 安全程序的核心是确保用户仅具有完成其工作所需的访问权限:最小特权访问模型。 使用这些建议可管理标识和访问要求。 |
| 4 | 启用静态加密 - 使用这些建议可确保减少存储数据保护方面的错误配置。 |
| 4 | 加密传输中的数据 - 使用这些建议可保护在组件、位置或程序之间移动的数据。 这类数据更容易遭受中间人攻击、窃听和会话劫持。 |
| 4 | 限制未经授权的网络访问 - Azure 提供了一套工具,旨在确保整个网络中的访问符合最高安全标准。 使用这些建议可管理 Defender for Cloud 的自适应网络强化、确保已为所有相关 PaaS 服务配置 Azure 专用链接、在虚拟网络上启用 Azure 防火墙等。 |
| 3 | 应用自适应应用程序控制 - 自适应应用程序控制是一种智能的、自动化的端到端解决方案,可用于控制哪些应用程序可以在计算机上运行。 它还有助于强化计算机免受恶意软件的侵害。 |
| 2 | 保护应用程序免受 DDoS 攻击 - Azure 的高级网络安全解决方案包括 Azure DDoS 防护、Azure Web 应用程序防火墙和适用于 Kubernetes 的 Azure Policy 加载项。 使用这些建议可确保通过这些工具和其他工具来保护应用程序。 |
| 2 | 启用终结点保护 - Defender for Cloud 会检查组织的终结点中是否存在活动的威胁检测和响应解决方案,例如 Microsoft Defender for Endpoint 或此列表中显示的任何主要解决方案。 如果未启用终结点检测和响应 (EDR) 解决方案,请使用这些建议来部署 Microsoft Defender for Endpoint。 Defender for Endpoint 包含在 Defender for Servers 计划中。 此控制中的其他建议可帮助部署代理并配置文件完整性监视。 |
| 1 | 启用审核和日志记录 - 详细日志是事件调查和许多其他故障排除操作的关键部分。 此控制中的建议侧重于确保在相关位置启用诊断日志。 |
| 0 | 启用增强的安全功能 - 使用这些建议启用任何 Defender for Cloud 计划。 |
| 0 | 实现安全最佳做法 - 此控制对安全功能分数没有影响。 此建议集合对于组织安全性非常重要,但不应用于评估总体分数。 |