共用方式為

改善法規合規性

  • 發行項

適用於雲端的 Microsoft Defender 可持續評估針對合規性控制的資源,並找出阻礙您達成特定合規性認證的問題,協助您符合法規合規性需求。

法規合規性儀表板中,您可以管理和與合規性標準互動。 您可以看到已指派哪些合規性標準、開啟和關閉 Azure、AWS 和 GCP 的標準、檢閱針對標準評定的狀態等等。

與 Purview 整合

適用於雲端的 Defender 的合規性資料現在與 Microsoft Purview 合規性管理員無縫整合,讓您在組織的整體數位資產中可以集中存取和管理合規性。

當您將任何標準新增至合規性儀表板 (包括合規性標準監視 AWS 和 GCP 等其他雲端) 時,資源層級合規性資料會自動顯示在合規性管理員中,以符合相同的標準。

因此,合規性管理員會在整個雲端基礎結構和此中央工具中提供所有其他數位資產的改進動作和狀態。 如需更多資訊,請參閱 Microsoft Purview 合規性管理員中的多重雲端支援

在您開始使用 Intune 之前

  • 根據預設,當您在 Azure 訂用帳戶、AWS 帳戶或 GCP 方案中啟用適用於雲端的 Defender 時,會啟用 MCSB 方案。
  • 在適用於雲端的 Defender 中至少啟用一個付費方案時,您可以新增更多非預設合規性標準。
  • 您必須使用對原則合規性資料具有讀者存取權的帳戶來登入。 訂用帳戶的 [讀者] 角色可以存取原則合規性資料,但「安全性讀者」角色則無法存取。 您至少必須指派資源原則參與者安全性系統管理員角色。

存取法規合規性

法規合規性儀表板會顯示已啟用哪些合規性標準。 這會顯示每個標準內的控件,以及這些控件的安全性評估。 這些評定的狀態會反映您符合標準的情況。

儀表板可協助您專注於標準中的差距,以及監視一段時間的合規性。

  1. 在適用於雲端的Defender入口網站中,開啟法規合規性頁面。

    顯示探索特定標準合規性詳細資料的螢幕擷取畫面。

  2. 根據影映像中的編號項目使用儀表板。

    • (1). 選取合規性標準以查看該標準的所有控制項的清單。
    • (2). 檢視套用至合規性標準的訂用帳戶。
    • (3). 選取和展開控制項以檢視相關聯的評量。 選取評量以檢視相關聯的資源,以及可能的補救動作。
    • (4). 選取 [控制項詳細資料] 以檢視 [概觀]、[您的動作] 和 [Microsoft 動作] 索引標籤。
    • (5). 在 [您的動作] 索引標籤中,您可以看到與控制項相關聯的自動化和手動評量。
    • (6). 自動化評量會顯示失敗的資源和資源類型數目,並直接連結到補救資訊。
    • (7). 手動評量可以手動證明,而且可以連結證據以示範合規性。

調查問題

您可以使用儀表板中的資訊來調查可能會影響標準合規性的問題。

  1. 在適用於雲端的Defender入口網站中,開啟法規合規性

  2. 選取法規合規性標準,然後選取合規性控件加以展開。

  3. 選取 [控制項詳細資料]。

    顯示瀏覽位置的螢幕擷取畫面,以選取畫面上的控制項詳細資料。

    • 選取 [概觀] 以查看所選控制項的特定資訊。
    • 選取 [您的動作] 以查看詳細檢視,了解您需要採取哪些自動化和手動動作來改善合規性狀態。
    • 選取 [Microsoft 動作] 以查看 Microsoft 為了確保符合所選標準而採取的所有動作。

  4. 在 [您的動作] 下,您可以選取向下箭號以檢視更多詳細資料,並處理該資源的建議。

    顯示畫面上向下箭號所在位置的螢幕擷取畫面。

    如需如何套用建議的詳細資訊,請參閱實作適用於雲端的 Microsoft Defender 中的安全性建議

    注意

    評估大約每 12 小時執行一次,因此您只有在下一次執行相關評估之後才會看到對合規性數據的影響。

補救自動化評估

法規合規性同時具有可能需要補救的自動化和手動評量。 使用法規合規性儀表板中的資訊,在儀表板中直接解決建議來改善合規性態勢。

  1. 在適用於雲端的Defender入口網站中,開啟法規合規性

  2. 選取法規合規性標準,然後選取合規性控件加以展開。

  3. 選取儀表板上顯示的任何失敗評估來檢視該建議的詳細資料。 每項建議都包含一組解決問題的補救步驟。

  4. 選取特定資源以檢視更多詳細資料並解決該資源的建議。
    例如,在 Azure CIS 1.1.0 標準中,選取建議應在虛擬機器上套用磁碟加密。

    螢幕擷取畫面顯示從標準中選取建議會直接導向至建議詳細資料頁面。

  5. 在此範例中,當您從建議詳細資料頁面選取 [採取動作] 時,您將進入 Azure 入口網站的 Azure 虛擬機器頁面,您可以在其中從 [安全性] 索引標籤啟用加密:

    螢幕擷取畫面顯示建議詳細資料頁面上的 [採取動作] 按鈕會導向至補救選項。

    如需如何套用建議的詳細資訊,請參閱實作適用於雲端的 Microsoft Defender 中的安全性建議

  6. 採取動作以解決建議之後,您將在合規性儀表板報告中看到結果,因為您的合規性分數有所提高。

系統大約會每隔 12 小時執行一次評量,因此您必須在下次執行相關評量後,才會看到合規性資料受到的影響。

補救手動評估

法規合規性具有可能需要補救的自動化和手動評量。 手動評估是需要客戶輸入以加以補救的評估。

  1. 在適用於雲端的Defender入口網站中,開啟法規合規性

  2. 選取法規合規性標準,然後選取合規性控件加以展開。

  3. 在 [手動證明和證據] 區段下,選取評量。

  4. 選取相關的訂用帳戶。

  5. 選擇 [證明]。

  6. 輸入相關資訊並附加合規性辨識項。

  7. 選取 [儲存]。

產生合規性狀態報告和憑證

  1. 若要產生具有特定標準之目前合規性狀態摘要的 PDF 報告,請選取 [下載報告]

    報告會根據適用於雲端的 Defender 評定資料,為所選標準提供合規性狀態的概略摘要。 報告會根據該特定標準的控制措施加以組織。 報告可與相關利害關係人共用,並且可以向內部與外部稽核者提供證據。

    螢幕擷取畫面顯示使用適用於雲端的 Defender 法規合規性儀表板中的工具列來下載合規性報表。

  2. 若要下載您訂用帳戶所套用標準的 Azure 和 Dynamics「認證報表」,請使用 [稽核報表] 選項。

    螢幕擷取畫面顯示使用適用於雲端的 Defender 法規合規性儀表板的工具列以下載 Azure 和 Dynamics 認證報表。

  3. 選取相關報表類型 (PCI、SOC、ISO 和其他) 的索引標籤,並使用篩選來尋找您需要的特定報表:

    螢幕擷取畫面顯示使用索引標籤和篩選來篩選可用 Azure 稽核報表清單。

    例如,您可以從 [PCI] 索引標籤下載包含數位簽署憑證的 ZIP 檔案,而此數位簽署憑證示範 Microsoft Azure、Dynamics 365 和其他線上服務與 ISO22301 架構的合規性,以及解譯和呈現憑證的必要附隨品。

當您下載其中一份認證報表時,將會顯示下列隱私權通知:

下載此檔案,即表示您同意 Microsoft 在下載時儲存目前的使用者和選取的訂用帳戶。 此資料是用來向您通知所下載的稽核報表變更或更新。 只有在需要通知時,Microsoft 以及可產生認證/報表的稽核公司才會使用此資料。

持續匯出合規性狀態

如果您想要在環境中使用其他監視工具來追蹤合規性狀態,適用於雲端的 Defender 包含一種匯出機制,可讓此作業變得簡單明瞭。 設定 [連續匯出],以將選取的資料傳送至 Azure 事件中樞或 Log Analytics 工作區。 深入了解持續匯出適用於雲端的 Defender 資料

使用 Azure 事件中樞或 Log Analytics 工作區的連續匯出資料:

  1. 匯出「連續串流」中的所有法規合規性資料:

    顯示如何連續匯出法規合規性資料串流的螢幕擷取畫面。

  2. 匯出法規合規性資料的「每週快照集」

    顯示如何連續匯出法規合規性資料每週快照集的螢幕擷取畫面。

提示

您也可以直接從法規合規性儀表板中手動匯出單一時間點的報表。 使用 [下載報表] 或 [稽核報表] 工具列選項,以產生這些 PDF/CSV 報表Azure 和 Dynamics 認證報表

評估變更時觸發工作流程

適用於雲端的 Defender 工作流程自動化功能可在您的其中一個法規合規性評定變更狀態時觸發 Logic Apps。

例如,合規性評量失敗時,您可能會想要適用於雲端的 Defender 將電子郵件寄送給特定使用者。 您會需要先建立邏輯應用程式 (使用 Azure Logic Apps),然後在新的工作流程自動化中設定觸發程序,如自動回應適用於雲端的 Defender 觸發程序中所述。

顯示如何使用法規合規性評量變更來觸發工作流程自動化的螢幕擷取畫面。

下一步

若要深入了解,請參閱下列相關頁面: