適用於雲端的 Defender 中的安全性原則
適用於雲端的 Microsoft Defender 中的安全策略包含安全性標準和建議,可協助您改善雲端安全性態勢。
安全性標準會定義規則、這些規則的合規性條件,以及不符合條件時所要採取的動作 (效果)。 適用於雲端的 Defender 會根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中啟用的安全性標準來評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟,以協助您補救安全性問題。
安全性標準
適用於雲端的 Defender 中的安全性標準來自下列來源:
Microsoft 雲端安全性效能評定 (MCSB):當您將雲端帳戶上線至 Defender 時,預設會套用 MCSB 標準。 您的安全分數是根據一些 MCSB 建議的評量。
法規合規性標準:當您啟用一或多個適用於雲端的 Defender 方案時,可以從各種預先定義的法規合規性計劃新增標準。
自訂標準:您可以在適用於雲端的 Defender 中建立自訂安全性標準,然後視需要將內建和自訂建議新增至這些自訂標準。
適用於雲端的 Defender 中的安全性標準是以 Azure 原則計劃或適用於雲端的 Defender 原生平台為基礎。 目前,Azure 標準是以 Azure 原則為基礎。 AWS 和 GCP 標準是以適用於雲端的 Defender 為基礎。
使用安全性標準
以下是您可以在適用於雲端的 Defender 中使用安全性標準的動作:
修改訂用帳戶的內建 MCSB:當您啟用適用於雲端的 Defender 時,MCSB 會自動指派給所有適用於雲端的 Defender 註冊訂用帳戶。 深入了解如何管理 MCSB 標準。
新增法規合規性標準:如果您已啟用一或多個付費方案,則可以指派內建合規性標準,以評估您的 Azure、AWS 和 GCP 資源。 深入了解指派法規標準。
新增自訂標準:如果已啟用至少一個付費 Defender 方案,您可以在適用於雲端的 Defender 入口網站中定義新的自訂標準和自訂建議。 然後,您可以將建議新增至這些標準。
自訂標準
自訂標準會與法規合規性儀表板中的內建標準一起顯示。
針對自訂標準衍生自評量的建議,會與來自內建標準的建議一起出現。 自訂標準可以包含內建和自訂建議。
自訂建議
根據 Kusto 查詢語言 (KQL) 使用自訂建議是建議的做法,在所有雲端都支援此動作,但需要啟用 Defender CSPM 方案。 透過這些建議,您可以指定唯一的名稱、描述、補救步驟、嚴重性和相關標準。 您會使用 KQL 新增建議邏輯。 查詢編輯器提供您可以調整的內建查詢範本,或者您可以撰寫 KQL 查詢。
或者,所有 Azure 客戶都可以將其 Azure 原則自訂計劃上線作為自訂建議 (舊版方法)。
如需詳細資訊,請參閱在適用於雲端的 Microsoft Defender 中建立自訂安全性標準和建議。
安全性建議
適用於雲端的 Defender 會定期且持續分析及評估受保護資源的安全性狀態,以根據定義的安全性標準,找出潛在的安全性設定錯誤和弱點。 然後,適用於雲端的 Defender 會根據評量結果提供建議。
每個建議都會提供下列資訊:
- 問題的簡短描述
- 實作建議的補救步驟
- 受影響的資源
- 風險等級
- 風險因素
- 攻擊路徑
適用於雲端的 Defender 中每個建議都有相關聯的風險層級,代表安全性問題的惡意探索和影響程度。 風險評量引擎會考慮網際網路暴露、資料敏感度、橫向移動可能性,以及攻擊路徑補救等因素。 您可以根據建議的風險層級來排定建議的優先順序。
重要
風險優先順序不會影響安全分數。
範例
MCSB 標準是包含多個合規性控制的 Azure 原則倡議。 這些控制項其中之一是「儲存體帳戶應該使用虛擬網路規則來限制網路存取。」
適用於雲端的 Defender 會持續評估資源。 如果其發現任何不符合此控制的資源,則會將其標示為不符合規範,並觸發建議。 在此情況下,指引是強化未受虛擬網路規則保護的 Azure 儲存體帳戶。