改善法規合規性
適用於雲端的 Microsoft Defender 透過持續評估合規性控制的資源,以及找出阻礙您達成特定合規性認證的問題,協助您符合法規合規性需求。
在 [法規合規性] 儀錶板中,您可以管理和與合規性標準互動。 您可以看到已指派哪些合規性標準、開啟和關閉 Azure、AWS 和 GCP 的標準、檢閱針對標準評定的狀態等等。
與 Purview 整合
來自 適用於雲端的 Defender 的合規性數據現在與 Microsoft Purview 合規性管理員緊密整合,可讓您集中評估及管理整個組織數位資產的合規性。
當您將任何標準新增至合規性儀錶板(包括合規性標準監視 AWS 和 GCP 等其他雲端)時,資源層級合規性數據會自動顯示在合規性管理員中,以符合相同的標準。
因此,合規性管理員會在整個雲端基礎結構和此中央工具中提供所有其他數位資產的改進動作和狀態。 如需詳細資訊,請參閱 Microsoft Purview 合規性管理員中的多重雲端支援。
在您開始使用 Intune 之前
- 根據預設,當您在 Azure 訂用帳戶、AWS 帳戶或 GCP 方案上啟用 適用於雲端的 Defender 時,會啟用 MCSB 方案。
- 當您在 適用於雲端的 Defender 中至少啟用一個付費方案時,您可以新增更多非預設合規性標準。
- 您必須使用具有原則合規性數據的讀取者存取權的帳戶登入。 訂 用帳戶的讀取者 角色可以存取原則合規性數據,但 安全性讀取者 角色則沒有。 您至少必須指派資源原則參與者和安全性 管理員 角色。
評估法規合規性
法規 合規性 儀錶板會顯示已啟用哪些合規性標準。 它會顯示每個標準內的控件,以及這些控件的安全性評估。 這些評定的狀態會反映您符合標準的情況。
儀錶板可協助您專注於標準中的差距,以及監視一段時間的合規性。
在 適用於雲端的 Defender 入口網站中,開啟 [法規合規性] 頁面。
根據影像中的編號專案使用儀錶板。
- (1). 選取合規性標準以查看該標準的所有控制項的清單。
- (2). 檢視套用合規性標準的訂用帳戶。
- (3). 選取並展開控件,以檢視與其相關聯的評量。 選取評量以檢視相關聯的資源,以及可能的補救動作。
- (4). 選取 [ 控件詳細數據 ] 以檢視 [ 概觀]、 [您的動作] 和 [Microsoft 動作] 索引標籤。
- (5). 在 [動作] 中,您可以看到與控件相關聯的自動化和手動評量。
- (6). 自動化評定會顯示失敗的資源和資源類型數目,並將您直接連結至補救資訊。
- (7). 手動評定可以手動證明,而且辨識項可以連結以示範合規性。
調查問題
您可以使用儀錶板中的資訊來調查可能會影響標準合規性的問題。
在 適用於雲端的 Defender 入口網站中,開啟 [法規合規性]。
選取法規合規性標準,然後選取合規性控件加以展開。
選取 [ 控件詳細數據]。
- 選取 [ 概觀 ] 以查看您所選取控件的特定資訊。
- 選取 [您的動作 ] 以查看您需要採取的自動化和手動動作的詳細檢視,以改善合規性狀態。
- 選取 [Microsoft 動作 ] 以查看 Microsoft 採取的所有動作,以確保符合所選標準。
在 [動作] 底下,您可以選取向下箭號來檢視更多詳細數據,並解決該資源的建議。
如需如何套用建議的詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中實作安全性建議。
注意
評估大約每 12 小時執行一次,因此您只有在下一次執行相關評估之後才會看到對合規性數據的影響。
補救自動化評估
法規合規性同時具有可能需要補救的自動化和手動評估。 使用法規合規性儀表板中的資訊,在儀表板中直接解決建議來改善合規性態勢。
在 適用於雲端的 Defender 入口網站中,開啟 [法規合規性]。
選取法規合規性標準,然後選取合規性控件加以展開。
選取儀表板上顯示的任何失敗評估來檢視該建議的詳細資料。 每項建議都包含一組解決問題的補救步驟。
選取特定資源以檢視更多詳細資料並解決該資源的建議。
例如,在 Azure CIS 1.1.0 標準中,選取建議應在虛擬機器上套用磁碟加密。在此範例中,當您從建議詳細資料頁面選取 [採取動作] 時,您將進入 Azure 入口網站的 Azure 虛擬機器頁面,您可以在其中從 [安全性] 索引標籤啟用加密:
如需如何套用建議的詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中實作安全性建議。
採取動作以解決建議之後,您將在合規性儀表板報告中看到結果,因為您的合規性分數有所提高。
評定大約每 12 小時執行一次,因此只有在下一次執行相關評定之後,您才會看到對合規性數據的影響。
補救手動評估
法規合規性具有可能需要補救的自動化和手動評估。 手動評估是需要客戶輸入以加以補救的評估。
在 適用於雲端的 Defender 入口網站中,開啟 [法規合規性]。
選取法規合規性標準,然後選取合規性控件加以展開。
在 [ 手動證明和辨識項 ] 區段底下,選取評定。
選取相關的訂用帳戶。
選擇 [證明]。
輸入相關資訊並附加合規性辨識項。
選取 [儲存]。
產生合規性狀態報告和憑證
若要產生具有特定標準之目前合規性狀態摘要的 PDF 報告,請選取 [下載報告]。
報告會根據適用於雲端的 Defender 評定資料,為所選標準提供合規性狀態的概略摘要。 報告會根據該特定標準的控制措施加以組織。 報告可與相關利害關係人共用,並且可以向內部與外部稽核者提供證據。
若要下載適用於您訂用帳戶之標準的 Azure 和 Dynamics 認證報告 ,請使用 [ 稽核報告 ] 選項。
選取相關報表類型的索引標籤(PCI、SOC、ISO 等),並使用篩選來尋找您需要的特定報告:
例如,從 [PCI] 索引標籤,您可以下載 ZIP 檔案,其中包含示範 Microsoft Azure、Dynamics 365 和其他在線服務的符合ISO22301架構的數位簽署憑證,以及解譯和呈現憑證的必要附帶數據。
當您下載其中一份認證報告時,會顯示下列隱私權通知:
藉由下載此檔案,您會同意 Microsoft 在下載時儲存目前的使用者和選取的訂用帳戶。 此數據是用來通知您,以防變更或更新下載的稽核報告。 只有在需要通知時,Microsoft 和稽核公司才會使用此數據來產生認證/報告。
持續匯出合規性狀態
如果您想要在環境中使用其他監視工具來追蹤合規性狀態,適用於雲端的 Defender 包含一種匯出機制,可讓此作業變得簡單明瞭。 設定 [連續匯出],以將選取的資料傳送至 Azure 事件中樞或 Log Analytics 工作區。 深入了解持續匯出 適用於雲端的 Defender 數據。
使用連續匯出資料至 Azure 事件中樞 或 Log Analytics 工作區:
提示
您也可以直接從法規合規性儀錶板手動導出有關單一時間點的報告。 使用 [下載報告] 或 [稽核報告] 工具列選項,產生這些 PDF/CSV 報告或 Azure 和 Dynamics 認證報告。
評估變更時觸發工作流程
適用於雲端的 Defender 工作流程自動化功能可在您的其中一個法規合規性評定變更狀態時觸發 Logic Apps。
例如,當合規性評定失敗時,您可能會想要 適用於雲端的 Defender 傳送電子郵件給特定使用者。 您必須先建立邏輯應用程式(使用 Azure Logic Apps),然後在新的工作流程自動化中設定觸發程式,如自動回應 適用於雲端的 Defender 觸發程式中所述。
下一步
若要深入瞭解,請參閱下列相關頁面:
- 自定義法規合規性儀錶板 中的一組標準 - 瞭解如何選取法規合規性儀錶板中顯示的標準。
- 在 適用於雲端的 Defender 中管理安全性建議 - 瞭解如何在 適用於雲端的 Defender 中使用建議,以協助保護您的多重雲端資源。
- 查看 有關法規合規性的 常見問題。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應