補救來賓設定的建議

注意

由於 Log Analytics 代理程式 (也稱為 MMA) 將於 2024 年 11 月停用，因此目前依賴此代理程式的所有適用於伺服器的 Defender 功能 (包括本頁所述的功能)，在停用日期之前將透過適用於端點的 Microsoft Defender 整合或無代理程式掃描提供。 如需目前依賴 Log Analytics 代理程式的每個功能藍圖詳細資訊，請參閱此公告 (部分機器翻譯)。

適用於雲端的 Defender 會評估連線到您訂用帳戶的虛擬機器 (VM) 的基準設定錯誤。 評估會根據預先定義的安全性基準來評估您的 VM，以找出可能造成潛在風險的任何偏差或設定錯誤。 藉由讓 VM 遵守安全性最佳做法和組織原則，您可以維護健全且安全的運算環境。

機器資訊是透過 Azure 原則來賓設定所收集，而評估是以涵蓋各種合規性基準和法規的 Microsoft 基準為基礎。 例如 CIS、STIG 等等。 Azure 原則來賓設定會在您的訂用帳戶上啟用下列原則：

• 適用於 Windows 的 Azure 原則來賓設定基準

• 適用於 Linux 的 Azure 原則來賓設定基準

注意

如果您移除這些原則，將無法享有 Azure 原則來賓設定延伸模組的優點。

必要條件

• 啟用訂用帳戶上的適用於伺服器的 Defender 方案 2。

• 檢閱適用於雲端的 Defender 定價頁面，瞭解 Defender 伺服器方案 2 定價資訊。

重要

請注意，Azure 原則來賓設定所提供、不在適用於雲端的 Defender 入口網站上的其他功能，不會包含在適用於雲端的 Defender 中，而且應遵守 Azure 原則來賓設定定價原則。 例如補救和自訂原則。 如需詳細資訊，請參閱 Azure 原則來賓設定定價頁面。

• 檢閱 Azure 原則來賓設定的支援矩陣。

• 在您的機器上安裝 Azure 原則來賓設定：

  • Azure 機器：在適用於雲端的 Defender 入口網站的建議頁面上，搜尋並選取 [應在電腦上安裝來賓設定延伸模組]，然後補救建議。

  • 僅限 Azure VM 您必須在適用於雲端的 Defender 入口網站上指派受控識別。 瀏覽至建議頁面。 搜尋並選取 [應使用系統指派的受控識別，部署虛擬機器的來賓設定延伸模組]。 然後補救建議。

  • (選擇性) 僅限 Azure VM：為整個訂用帳戶啟用 Azure 原則來賓設定。

  • 在您的 Azure 機器上為整個訂用帳戶啟用 Azure 原則來賓設定延伸模組：

    1. 登入 Azure 入口網站。

    2. 搜尋並選取 [適用於雲端的 Microsoft Defender]。

    3. 瀏覽至 [環境設定]>[您的訂用帳戶]>[設定 & 監視]。

       

    4. 將來賓設定代理程式 (預覽) 切換為 [開啟]。

       

    5. 選取繼續。

  • GCP 和 AWS：當您連線 GCP 專案，或連線已啟用 Azure Arc 自動佈建的 AWS 帳戶時，系統會自動將 Azure 原則來賓設定安裝到適用於雲端的 Defender。

  • 內部部署機器：當您將內部部署機器上線為已啟用 Azure Arc 的機器或 VM 時，預設會啟用 Azure 原則來賓設定。

檢閱和補救來賓設定建議

Azure 原則來賓設定上線到您的訂用帳戶之後，適用於雲端的 Defender 會根據安全性基準開始評估您的 VM。 如果發現設定錯誤，您的建議頁面上可能會顯示下列建議 (視您的環境而定)：

• 應補救您的 Windows 機器上安全性設定的弱點 (由來賓設定提供)
• 應補救您 Linux 機器上安全性設定的弱點 (由來賓設定提供)

如要檢閱並補救這些弱點：

1. 登入 Azure 入口網站。

2. 瀏覽至適用於雲端的 Defender> 建議**。

3. 搜尋並選取其中一項建議。

4. 檢閱建議。

5. 修復建議。

注意

在 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent，MMA) 的淘汰流程中，您可能會重複收到針對相同機器的建議。 這是因為 MMA 和 Azure 原則來賓設定在評估相同的機器。 若要避免這種情況，您可以在機器上停用 MMA。

使用 API 查詢建議

適用於雲端的 Defender 使用 Azure Resource Graph 做為 API，並運用入口網站查詢來查詢建議資訊。 您可以運用這些資源來建立自己的查詢以擷取資訊。

您可以瞭解如何在 Azure Resource Graph 中檢閱建議。

以下是您可以使用的兩項範例查詢：

• 查詢特定資源的所有狀況不良規則

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• 所有狀況不良的規則，以及每條規則造成的狀況不良機器數量

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

您可以深入瞭解 Azure Resource Graph 的查詢語言，以學習如何建立更深入的查詢。

注意

在 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent，MMA) 的淘汰流程中，您可能會重複收到針對相同機器的建議。 這是因為 MMA 和 Azure 原則來賓設定在評估相同的機器。 若要避免這種情況，您可以在機器上停用 MMA。

後續步驟

檢閱 Docker 主機強化建議