你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

提高合规性

Microsoft Defender for Cloud 通过根据合规性控制措施持续评估资源,并识别导致你无法取得特定合规认证的问题,来帮助你满足合规性要求。

在“合规性”仪表板中,可以管理合规性标准并与之交互。 可以查看分配了哪些合规性标准,为 Azure、AWS 和 GCP 打开和关闭标准,查看标准评估状态,等等。

与 Purview 集成

Defender for Cloud 的合规性数据现在与 Microsoft Purview 合规性管理器无缝集成,使你能够集中评估和管理组织的整个数字资产的合规性。

将任何标准(包括监视 AWS 和 GCP 等其他云的合规性标准)添加到合规性仪表板时,资源级合规性数据会自动显示在合规性管理器中,以符合同一标准。

因此,合规性管理器可在此中心工具中跨云基础结构和所有其他数字资产提供改进操作和状态。 有关详细信息,请参阅 Microsoft Purview 合规性管理器中的多云支持

开始之前

  • 默认情况下,在 Azure 订阅、AWS 帐户或 GCP 计划中启用 Defender for Cloud 时,将启用 MCSB 计划。
  • 在 Defender for Cloud 中至少启用一个付费计划后,可以添加更多非默认合规性标准。
  • 必须使用对策略合规性数据具有读取权限的帐户登录。 订阅的读者角色有权访问策略合规性数据,但安全读者角色没有此权限。 你至少需要有“资源策略参与者”和“安全管理员”角色。

评估合规性

合规性”仪表板显示已启用哪些合规性标准。 它会显示每项标准中的控制措施,以及这些控制措施的安全评估。 这些评估的状态反映了标准的合规性。

仪表板可帮助你专注于解决与标准的差距,并监视不同时间的合规性。

  1. 在 Defender for Cloud 门户中,打开“监管合规性”页面

    显示浏览符合特定标准的详细信息的屏幕截图。

  2. 根据图像中带编号的项使用仪表板。

    • (1). 选择一个合规性标准,查看该标准的所有控件列表。
    • (2). 查看应用了合规性标准的订阅。
    • (3). 选择并展开某个控制措施以查看与其关联的评估。 选择某项评估以查看关联的资源以及可能的修正操作。
    • (4). 选择“控制详细信息”以查看“概述”、“你的操作”和“Microsoft 操作”选项卡。
    • (5)。 在“你的操作”中,可以看到与控制措施关联的自动和手动评估。
    • (6). 自动评估会显示失败的资源和资源类型的数量,并将你直接链接到修正信息。
    • (7). 可以手动证明手动评估,并且可以链接证据来证明合规性。

调查问题

可以使用仪表板中的信息来调查可能影响标准合规性的问题。

  1. 在 Defender for Cloud 门户中,打开“合规性”。

  2. 选择合规性标准,然后选择一项合规性控制措施以将其展开。

  3. 选择“控件详细信息”。

    显示导航到屏幕上选择控件详细信息的位置的屏幕截图。

    • 选择“概述”以查看所选控件的相关特定信息。
    • 选择“你的操作”,查看需要执行以提高合规性状况的自动和手动操作的详细视图。
    • 选择“Microsoft 操作”,查看 Microsoft 执行以确保符合所选标准的所有操作。
  4. 在“你的操作”下,可选择向下箭头以查看更多详细信息并解决该资源的建议。

    显示屏幕上向下箭头位置的屏幕截图。

    有关如何应用建议的详细信息,请参阅在 Microsoft Defender for Cloud 中实施安全建议

    注意

    评估大约每 12 小时运行一次,因此只有在下一次相关评估运行以后才能看到对符合性数据造成的影响。

修正自动评估

法规合规性具有可能需要修正的自动和手动评估。 使用法规合规性仪表板中的信息,可以直接在仪表板中采用相关建议,改进合规性情况。

  1. 在 Defender for Cloud 门户中,打开“合规性”。

  2. 选择合规性标准,然后选择一项合规性控制措施以将其展开。

  3. 选择仪表板中出现的未及格评估可查看该建议的详细信息。 每项建议都包含一组修正步骤,可用于解决问题。

  4. 选择特定的资源,查看更多详细信息,然后解决与该资源的建议相关的问题。
    例如,在“Azure CIS 1.1.0 标准”中,选择“应对虚拟机应用磁盘加密”建议。

    屏幕截图显示从标准中选择一个建议会直接转到相关建议的详细信息页面。

  5. 在此示例中,当你在建议详细信息页面中选择“执行操作”时,将进入 Azure 门户的 Azure 虚拟机页,可在其中启用“安全”选项卡中的加密:

    屏幕截图显示单击建议详细信息页上的“执行操作”按钮会转到修正选项。

    有关如何应用建议的详细信息,请参阅在 Microsoft Defender for Cloud 中实施安全建议

  6. 在采取行动实施建议后,你将在合规性仪表板报表中看到相关影响,原因是你的合规性分数会增加。

评估大约每 12 小时运行一次,因此只有在下一次相关评估运行以后才能看到对合规性数据造成的影响。

修正手动评估

法规合规性具有可能需要修正的自动和手动评估。 手动评估是需要客户输入才能得到修正的评估。

  1. 在 Defender for Cloud 门户中,打开“合规性”。

  2. 选择合规性标准,然后选择一项合规性控制措施以将其展开。

  3. 在“手动证明和证据”部分下,选择一项评估。

  4. 选择相关订阅。

  5. 选择“证明”。

  6. 输入相关信息并附加合规性证据。

  7. 选择“保存”。

生成合规性状态报告和证书

  1. 要生成总结特定标准的当前合规性状态的 PDF 报告,请选择“下载报告”。

    该报告根据 Defender for Cloud 评估数据,就所选标准对你的合规性状态进行了大致的汇总。 该报告按照该特定标准的控件进行整理。 该报告可与相关利益干系人共享,并可能为内部和外部审计员提供证据。

    屏幕截图显示如何使用 Defender for Cloud 的法规符合性仪表板中的工具栏来下载符合性报告。

  2. 若要适用于订阅的标准的 Azure 和 Dynamics 认证报告,请使用“审核报告”选项 。

    屏幕截图显示如何使用 Defender for Cloud 的法规符合性仪表板中的工具栏来下载 Azure 和 Dynamics 认证报告。

  3. 选择用于相关报告类型(PCI、SOC 和 ISO 等)的选项卡,然后使用筛选器来查找所需的特定报告:

    屏幕截图显示如何使用选项卡和筛选器筛选可用 Azure 审核报告的列表。

    例如,在 PCI 选项卡中,可以下载 ZIP 文件,其中包含证明 Microsoft Azure、Dynamics 365 和其他联机服务是否符合 ISO22301 框架的数字签名证书,以及解释和呈现证书所需的辅助材料。

下载其中一个认证报告时,会显示以下隐私声明:

下载此文件即表示你同意 Microsoft 在下载时存储当前用户和所选订阅。 此数据用于在对下载的审核报告进行更改或更新时通知你。 此数据只在需要通知时由 Microsoft 和生成证书/报告的审核公司使用。

连续导出合规性状态

如果要在环境中使用其他监视工具来跟踪合规性状态,则可使用 Defender for Cloud 提供的导出机制来简化此操作。 配置“连续导出”将选择的数据发送到 Azure 事件中心或 Log Analytics 工作区。 有关详细信息,请参阅连续导出 Defender for Cloud 数据

使用“连续导出”将数据发送到 Azure 事件中心或 Log Analytics 工作区:

  1. 在“连续流”中导出所有法规合规性数据:

    屏幕截图显示如何持续导出法规合规性数据流。

  2. 导出法规合规性数据的每周快照:

    屏幕截图显示如何持续导出法规合规性数据每周快照。

提示

还可以直接从法规合规性仪表板手动导出有关单个时间点的报告。 使用“下载报告”或“审核报告”工具栏选项生成这些 PDF/CSV 报告或 Azure 和 Dynamics 认证报告 。

评估更改时触发工作流

Defender for Cloud 的工作流自动化功能可在合规性评估之一更改状态时触发逻辑应用。

例如,你可能希望 Defender for Cloud 在合规性评估失败时向特定用户发送电子邮件。 首先需要创建逻辑应用(使用 Azure 逻辑应用),然后在新的工作流自动化中设置触发器,如自动响应 Defender for Cloud 触发器所述。

屏幕截图显示如何使用对监管合规性评估的更改来触发工作流自动化。

后续步骤

若要了解更多信息,请参阅以下相关页面: