在適用於雲端的 Defender 中管理 MCSB 建議

適用於雲端的 Microsoft Defender 會根據安全性標準評估資源。 根據預設，當您將雲端帳戶上線至 適用於雲端的 Defender 時，會啟用 Microsoft Cloud Security Benchmark （MCSB） 標準。 適用於雲端的 Defender 會根據 MCSB 標準中的控制像，開始評估資源的安全性態勢，並根據評估發出安全性建議。

本文說明如何管理 MCSB 所提供的建議。

在您開始使用 Intune 之前

適用於雲端的 Defender 中有兩個特定的角色可以檢視和管理安全性元素：

• 安全性讀取者：有權檢視適用於雲端的 Defender 項目，例如建議、警示、原則和健康情況。 無法進行變更。
• 安全性管理員：具有與安全性讀取者相同的檢視權限。 也可以更新安全性原則並關閉警示。

拒絕和強制執行建議

• [拒絕] 是用來避免部署不符合 MCSB 的資源。 例如，如果您的 [拒絕] 控制項指定新儲存體帳戶必須符合特定準則，則如果儲存體帳戶不符合該準則，就無法建立儲存體帳戶。

• [強制執行] 可讓您利用 Azure 原則的 DeployIfNotExist 效果，以及在建立資源時自動補救不符合規範的資源。

  注意

  [強制執行] 和 [拒絕] 適用於 Azure 建議，且支援建議子集。

若要檢閱您可以拒絕和強制執行的建議，請在 [安全性原則] 頁面的 [標準] 索引標籤上，選取 [Microsoft 雲端安全性基準] 並深入探索建議，以查看拒絕/強制執行動作是否可用。

管理建議設定

注意

• 如果停用建議，則會豁免其所有子建議。
• 停用 和 拒絕 效果僅適用於 Azure 環境。

1. 在 [適用於雲端的 Defender] 入口網站中，開啟 [環境設定] 頁面。

2. 選取您想要管理 MCSB 建議的雲端帳戶或管理帳戶。

3. 開啟 [安全性原則] 頁面，然後選取 MCSB 標準。 應會開啟標準。

4. 選取省略符號 > [管理建議]。

   

5. 在相關建議旁邊，選取省略符號功能表，再選取 [管理效果和參數]。

• 若要開啟建議，請選取 [稽核]。
• 若要關閉建議，請選取 [停用]。
• 若要拒絕或強制執行建議，請選取 [拒絕]。

強制執行建議

您只能從建議詳細資料頁面強制執行建議。

1. 在 [適用於雲端的 Defender] 入口網站中，開啟 [建議] 頁面，然後選取相關的建議。

2. 在上層的功能表中，選取 [強制執行]。

   

3. 選取 [儲存]。

設定會立即生效，但建議會根據其更新間隔更新 (最多 12 小時)。

修改其他參數

您可能會想要為部分建議設定其他參數。 例如，診斷記錄建議的預設保留期間為 1 天。 您可以變更該預設值。

在建議詳細資料頁面中，[其他參數] 欄位會指出建議是否有相關聯的其他參數。

• 預設值 - 建議是使用預設設定執行
• 已設定 - 建議的設定會從其預設值修改
• 無 - 建議不需要任何其他設定

1. 在 MCSB 建議旁邊，選取省略符號功能表，再選取 [管理效果和參數]。

2. 在 [其他參數] 中，使用新的值設定可用的參數。

3. 選取 [儲存]。

   

如果您想要還原變更，請選取 [重設為預設值] 以還原建議的預設值。

識別潛在衝突

當您有多個具有不同值的標準指派時，可能會發生衝突。

1. 若要識別效果動作中的衝突，請在 [新增] 中選取 [效果衝突]>[具有衝突] 來識別任何衝突。

   

2. 若要識別其他參數中的衝突，請在 [新增] 中選取 [其他參數衝突]>[具有衝突] 來識別任何衝突。

3. 如果找到衝突，請在 [建議設定] 中，選取必要的值，然後儲存。

範圍上的所有指派都會與新設定一致，以解決衝突。

下一步

此頁面說明安全性原則。 如需相關資訊，請參閱下列頁面：

• 了解如何使用 PowerShell 設定原則
• 了解如何在 Azure 原則中編輯安全性原則
• 了解如何使用 Azure 原則跨訂用帳戶或對管理群組設定原則
• 了解如何在管理群組中的所有訂用帳戶上啟用適用於雲端的 Defender