你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是安全策略、计划和建议?

  • 项目

Microsoft Defender for Cloud 对订阅应用安全计划。 这些计划包含一个或多个安全策略。 这些策略每一个都会产生一个安全建议,用于改进安全态势。 本页详细介绍了这些理念中的每一个。

什么是安全策略?

一种 Azure Policy 定义,创建于 Azure Policy,是一种有关你要控制的特定安全状况的规则。 内置的定义包括诸如控制可以部署什么类型的资源或在所有资源上强制使用标签之类的事情。 你还可以创建你自己的自定义策略定义。

若要实现这些策略定义(不管是内置定义还是自定义定义),你需要分配它们。 可通过 Azure 门户、PowerShell 或 Azure CLI 来分配上述任意策略。 可以从 Azure Policy 禁用或启用策略。

Azure Policy 中有各种类型的策略。 Defender for Cloud 主要使用“审核”策略,该策略检查特定条件和配置,然后报告合规性。 还有“强制”策略,可以使用这类策略来应用安全设置。

什么是安全计划?

安全计划是指组合在一起以满足特定目标或目的的 Azure Policy 定义或规则的集合。 安全计划通过将一系列策略按逻辑分组为单个项,简化了对策略的管理。

安全计划定义工作负荷的所需配置,有助于确保你遵守公司或监管机构的安全要求。

与安全策略一样,Defender for Cloud 也是在 Azure Policy 中创建的。 你可以使用 Azure Policy 来管理策略、构建计划,以及将计划分配到多个订阅或整个管理组。

在 Microsoft Defender for Cloud 中,自动分配给每个订阅的默认计划是 Microsoft 云安全基准。 此基准是 Microsoft 制定的一组准则,适合基于常见合规框架的安全性与合规性最佳做法。 这一公认的基准建立在 Internet 安全中心 (CIS)国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。 详细了解 Microsoft 云安全基准

Defender for Cloud 提供以下用于处理安全计划和策略的选项:

  • 查看和编辑内置默认计划 - 启用 Defender for Cloud 时,会将名为“Microsoft 云安全基准”的计划自动分配到所有已在 Defender for Cloud 中注册的订阅。 若要自定义此计划,可以通过编辑策略的参数来启用或禁用计划中的各个策略。 要了解现成可用的选项,请参阅内置安全策略列表。

  • 添加自己的自定义计划 - 如果你希望自定义要应用到自己的订阅的安全计划,可以在 Defender for Cloud 中执行此操作。 如果计算机不遵循创建的策略,则你会收到建议。 有关构建和分配自定义策略的说明,请参阅使用自定义安全计划和策略

  • 将合规性标准添加为计划 - Defender for Cloud 的合规性仪表板显示环境内的所有评估在特定标准或法规(例如 Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020)上下文中的状态。 有关详细信息,请参阅改善合规性

什么是安全建议?

使用策略,Defender for Cloud 会定期分析资源的合规性状态,以确定潜在的安全错误配置和弱点。 然后,它会提供有关如何修正这些问题的建议。 建议是根据相关策略对资源进行评估并查明不满足已定义要求的资源时得到的结果。

Defender for Cloud 根据所选计划提供安全建议。 将计划中的策略与资源进行比较,并发现一个或多个不合规的资源,则在 Defender for Cloud 中显示为建议。

建议是为了保护和强化资源而需要采取的措施。 每项建议都提供以下信息:

  • 问题的简短说明
  • 为实施建议而要执行的修正步骤
  • 受影响的资源

实际上,它的工作方式如下所述:

  1. Microsoft 云安全基准是一个包含要求的计划

    例如,Azure 存储帐户必须限制网络访问以缩小其受攻击面。

  2. 该计划包含多个策略,每个策略都有特定资源类型的要求。 这些策略强制实施计划中的要求。

    沿用前面的示例,存储要求是通过策略“存储帐户应使用虚拟网络规则来限制网络访问”强制实施的。

  3. Microsoft Defender for Cloud 会持续评估连接的订阅。 如果它发现某个资源不符合策略,则会显示建议来修正这种情况,并强化不符合安全要求的资源的安全性

    例如,如果任一受保护订阅上的 Azure 存储帐户不受虚拟网络规则的保护,则你会看到有关强化这些资源的建议。

因此,(1) 计划包含 (2) 策略,策略生成 (3) 特定于环境的建议。

安全建议详细信息

安全建议包含可帮助你了解其重要性以及如何对其进行处理的详细信息。

“建议详细信息”页的屏幕截图,其中包含每个元素的标签。

显示的建议详细信息如下:

  1. 对于支持的建议,顶部工具栏将显示以下任意或所有按钮:

    • “强制执行”和“拒绝”(请参阅使用“强制执行/拒绝”建议防止错误配置)。
    • “查看策略定义”,可直接转到“Azure Policy”条目以查看基础策略。
    • 打开查询 - 可以使用 Azure Resource Graph 资源管理器查看有关受影响资源的详细信息。

  2. 严重性指标

  3. 刷新间隔

  4. “已豁免资源计数”:如果某个建议存在豁免,此项会显示已豁免的资源数,并提供用于查看具体资源的链接。

  5. 映射到 MITRE ATT & CK® 策略和技术:如果某个建议定义了策略和技术,请选择指向 MITRE 网站上相关页面的链接的图标。 这仅适用于 Azure 评分建议。

    针对建议的 MITRE 战术映射的屏幕截图。

  6. “描述”- 安全问题简述。

  7. 详细信息页还包括相关建议表(如果相关):

    关系类型包括:

    • 必备项 - 必须在选定建议之前完成的建议
    • 替代项 - 可提供其他方式来实现选定建议目标的其他建议
    • 依赖项 - 选定建议是其必备项的建议

    对于每条相关建议,“受影响的资源”列中会显示不正常资源的数量。

    提示

    如果相关建议为灰显,则其依赖项尚未完成,因此不可用。

  8. 修正步骤 - 修正受影响资源的安全问题时所需的手动步骤的说明。 对于带有“修复”选项的建议,可以先选择“查看修正逻辑”,然后再为资源应用建议的修补程序。

  9. 受影响的资源 - 资源会分组到不同的选项卡中:

    • 正常资源 - 相关的资源,这些资源要么未受影响,要么已经修正了问题。
    • 不正常的资源 - 已识别到的问题仍会影响的资源。
    • 不适用的资源 - 建议无法为其提供明确答案的资源。 “不适用”选项卡还会为每个资源提供原因。

    建议无法为其提供明确答案的资源的屏幕截图。

  10. 用于修正建议或触发逻辑应用的操作按钮。

查看建议与策略之间的关系

如上所述,Defender for Cloud 的内置建议基于 Microsoft 云安全基准。 几乎每条建议都有一个基础策略,该策略源自基准中的需求。

查看建议的详细信息时,能够查看基础策略通常会很有帮助。 对于策略支持的每条建议,请使用建议详细信息页中的“查看策略定义”链接直接进入相关策略的 Azure 策略条目:

链接到 Azure Policy 页面,了解支持建议的具体策略。

使用此链接可查看策略定义和计算逻辑。

如果查看安全建议参考指南上的建议列表,你还将看到指向策略定义页面的链接:

直接从 Microsoft Defender for Cloud 建议参考页访问 Azure Policy 页来了解具体策略。

后续步骤

本页概要解释了策略、计划和建议的基本概念以及它们之间的关系。 如需相关信息,请参阅: