編輯

共用方式為


法規合規性問題的常見問題

如何知道要使用哪個基準或標準?

Microsoft 雲端安全性基準 (MCSB) 是 Microsoft 所定義的一組標準安全性建議和最佳做法,與 CIS 控制架構NIST SP 800-53 和 PCI-DSS 這類一般合規性控制架構一致。 MCSB 是一組完整的不限雲端安全性原則,旨在為 Azure 以及其他雲端 (例如 AWS 和 GCP) 建議最新技術指導方針。 建議想要最大化其安全性狀態的客戶使用 MCSB,並將其合規性狀態與業界標準保持一致。

CIS 基準是由獨立實體 (網際網路安全性中心 (CIS)) 所撰寫,並包含核心 Azure 服務子集的建議。 我們與 CIS 合作,嘗試確保其建議是 Azure 中最新增強功能的最新資訊,但有時會有所延遲並可能過時。 不過,有些客戶喜歡使用來自 CIS 的這個客觀協力廠商評量作為其初始和主要安全性基準。

因為我們已推出 Microsoft 雲端安全性基準,所以許多客戶都已選擇移轉至該基準,以取代 CIS 基準。

合規性儀表板支援哪些標準?

根據預設,法規合規性儀表板會顯示 Microsoft 雲端安全性基準。 Microsoft 雲端安全性基準是 Microsoft 針對以通用合規性架構為基礎的安全性和合規性最佳做法所撰寫的指導方針。 詳情請見 Microsoft 雲端安全性基準簡介

若要追蹤具有任何其他標準的合規性,您需要明確地將其新增至儀表板。

如需可用的法規標準清單,請參閱適用於雲端的 Defender 中有哪些可用的法規合規性標準

AWS:當使用者上線時,每個 AWS 帳戶都會獲指派 AWS 基礎安全性最佳做法。 這是針對以通用合規性架構為基礎的安全性與合規性最佳做法的 AWS 特定指導方針。

已啟用 Defender 套件組合的使用者可以啟用其他標準。

若要在 AWS 帳戶上新增法規合規性標準:

  1. 瀏覽至 [環境設定]

  2. 選取相關帳戶。

  3. 選取 [標準]

  4. 選取 [新增],然後選擇 [標準]

  5. 從下拉式功能表中選擇標準。

  6. 選取 [儲存]。

    將法規合規性標準新增至 AWS 帳戶的螢幕擷取畫面。

更多標準將會新增至儀表板,並包含於在法規合規性儀表板中自訂一組標準的相關資訊中。

為什麼有些控制項呈現灰色?

針對儀表板中的每個合規性標準,都會有標準控制項清單。 針對適用的控制項,您可以檢視成功和失敗評量的詳細資料。

有些控制項呈現灰色。這些控制項沒有任何與其相關聯的適用於雲端的 Defender 評量。 有些可能是與程序或處理程序相關,因此無法由適用於雲端的 Defender 進行驗證。 有些尚未實作任何自動化原則或評量,但未來將會實作。 有些控制項可能是平台的責任,如雲端中的共用責任中所述。

如何從儀表板移除內建標準,例如 PCI-DSS、ISO 27001 或 SOC2 TSP?

若要自訂法規合規性儀表板,只關注您所適用的標準,您可以移除與組織無關的任何顯示的法規標準。 若要移除標準,請遵循從儀表板中移除標準中的指示。

我已根據建議進行所建議的變更,但為何變更未反映在儀表板中?

當您採取動作來解決建議之後,請等候 12 小時以查看合規性資料的變更。 系統大約會每隔 12 小時執行一次評量,因此您只有在評量執行後才會看到對合規性資料的影響。

我需要哪些權限才能存取合規性儀表板?

若要存取租用戶中的所有合規性資料,您必須至少擁有租用戶適用範圍或所有相關訂用帳戶的讀者層級權限。

存取儀表板以及管理標準的最低角色集是「資源原則參與者」和「安全性管理員」

未為我載入法規合規性儀表板

若要使用法規合規性儀表板,必須在訂用帳戶層級啟用適用於雲端的 Defender。 如果未正確載入儀表板,則請嘗試下列步驟:

  1. 清除您瀏覽器的快取。
  2. 嘗試不同的瀏覽器。
  3. 嘗試從不同的網路位置開啟儀表板。

如何在儀表板中檢視每個標準的成功和失敗控制項報表?

在主要儀表板上,您可以看到儀表板中 (1)「前 4 個」最低合規性標準的成功和失敗控制項報表。 若要查看所有成功/失敗控制項狀態,請選取 (2) [顯示所有 x] (其中 x 是您追蹤的標準數目)。 內容平面會顯示所有您已追蹤標準的合規性狀態。

法規合規性儀表板的 [摘要] 區段。

如何以 PDF 以外的格式下載具有合規性資料的報表?

當您選取 [下載報表] 時,請選取標準和格式 (PDF 或 CSV)。 產生的報表將會反映您在入口網站篩選中選取的目前訂用帳戶集。

  • PDF 報表會顯示您所選取標準的摘要狀態
  • CSV 報表會提供每個資源的詳細結果,因為其與每個控制項相關聯的原則有關

目前不支援下載自訂原則的報表;僅支援提供的法規標準。

如何在法規合規性儀表板中建立某些原則的例外狀況?

針對安全分數中包含的 MCSB 建議,您可以直接在入口網站中建立一或多個資源的豁免,如同從安全分數豁免資源和建議中所述。

針對其他建議,您可以遵循 Azure 原則豁免結構的指示,直接在建議當中建立豁免。

我需要哪些 Microsoft Defender 方案或授權才能使用法規合規性儀表板?

如果您已在「任何」Azure 資源上啟用「任何」Microsoft Defender 方案 (適用於伺服器的 Defender 方案 1 除外),則可以存取適用於雲端的 Defender 法規合規性儀表板及其所有資料和功能。

注意

針對適用於伺服器的 Defender,您只會取得方案 2 的法規合規性。 方案 1 不包含法規合規性。