Přidání vlastních iniciativ do Microsoft Defenderu pro cloud

  • 7 min

Co jsou zásady zabezpečení, iniciativy

Microsoft Defender for Cloud aplikuje na vaše předplatná iniciativy zabezpečení. Tyto iniciativy obsahují jednu nebo více zásad zabezpečení. Každá z těchto zásad má za následek doporučení zabezpečení pro zlepšení stavu zabezpečení.

Co je iniciativa zabezpečení?

Iniciativa zabezpečení je kolekce definic nebo pravidel Služby Azure Policy, které jsou seskupené k určitému cíli nebo účelu. Iniciativy zabezpečení zjednodušují správu zásad tím, že seskupí sadu zásad dohromady, logicky jako jednu položku.

Iniciativa zabezpečení definuje požadovanou konfiguraci vašich úloh a pomáhá zajistit, abyste splnili požadavky vaší společnosti nebo regulačních orgánů na zabezpečení.

Podobně jako zásady zabezpečení se v Azure Policy vytvářejí také iniciativy Defender for Cloud. Azure Policy můžete použít ke správě zásad, sestavování iniciativ a přiřazování iniciativ více předplatných nebo celým skupinám pro správu.

Výchozí iniciativou, která se automaticky přiřadí ke každému předplatnému v programu Microsoft Defender for Cloud, je srovnávací test zabezpečení cloudu Microsoftu. Tento srovnávací test je sada pravidel pro osvědčené postupy zabezpečení a dodržování předpisů od Microsoftu založená na běžných architekturách dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

Defender for Cloud nabízí následující možnosti pro práci s iniciativami zabezpečení a zásadami:

  • Zobrazit a upravit integrovanou výchozí iniciativu – Když povolíte Defender for Cloud, přiřadí se iniciativa s názvem "Srovnávací test zabezpečení cloudu Microsoftu" automaticky všem předplatným registrovaným v programu Defender for Cloud. Pokud chcete tuto iniciativu přizpůsobit, můžete v ní povolit nebo zakázat jednotlivé zásady úpravou parametrů zásad.
  • Přidejte vlastní iniciativy – Pokud chcete přizpůsobit iniciativy zabezpečení použité pro vaše předplatné, můžete to udělat v programu Defender for Cloud. Poté obdržíte doporučení, pokud vaše počítače nedodržují zásady, které vytvoříte.
  • Přidejte standardy dodržování právních předpisů jako iniciativy – Řídicí panel dodržování právních předpisů defenderu pro cloud zobrazuje stav všech posouzení v rámci vašeho prostředí v kontextu konkrétního standardu nebo nařízení (jako je Azure Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) Special Publications (SP) SP 800-53 Rev.4, Swift's Customer Security Program (CSP) Call Session Control Function (CSCF) v2020).

Příklad: Integrovaná iniciativa zabezpečení

Snímek obrazovky znázorňující příklad srovnávacího testu CIS Microsoft Azure Foundations

Co jsou zásady zabezpečení?

Definice služby Azure Policy vytvořená v Azure Policy je pravidlo týkající se konkrétních podmínek zabezpečení, které chcete řídit. Předdefinované definice zahrnují například řízení typu prostředků, které je možné nasadit nebo vynucovat použití značek u všech prostředků. Můžete také vytvořit vlastní definice zásad.

Pokud chcete implementovat tyto definice zásad (ať už předdefinované nebo vlastní), budete je muset přiřadit. Jakékoli z těchto zásad můžeme přiřadit prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI. Zásady je možné zakázat nebo povolit ze služby Azure Policy.

Ve službě Azure Policy existují různé typy zásad. Defender for Cloud používá hlavně zásady auditu, které kontrolují konkrétní podmínky a konfigurace a pak hlásí dodržování předpisů. Existují také zásady vynucení, které lze použít k použití nastavení zabezpečení.

Příklad: Předdefinované zásady zabezpečení

Snímek obrazovky znázorňující příklad základní definice zásad pro audit virtuálních počítačů bez spravovaných disků

Defender pro cloud používá řízení přístupu na základě role v Azure (Azure RBAC), které poskytuje předdefinované role, které můžete přiřadit uživatelům, skupinám a službám Azure. Když uživatelé otevřou Defender for Cloud, uvidí jenom informace související s prostředky, ke kterým mají přístup. Uživatelům se přiřadí role vlastníka, přispěvatele nebo čtenáře k předplatnému prostředku.

Pro Defender for Cloud existují dvě konkrétní role:

  1. Správce zabezpečení: Má stejná práva zobrazení jako čtenář zabezpečení. Může také aktualizovat zásady zabezpečení a zavřít výstrahy.
  2. Čtenář zabezpečení: Má práva k zobrazení defenderu pro cloudové položky, jako jsou doporučení, upozornění, zásady a stav. Nelze provádět změny.

Diagram znázorňující, která role zabezpečení může zobrazit, aktualizovat a zavřít výstrahy

Zásady zabezpečení můžete upravovat prostřednictvím portálu Azure Policy prostřednictvím rozhraní REST API (Representational State Transfer Application Programming Interface) nebo windows PowerShellu.

Obrazovka Zásady zabezpečení odráží akci prováděnou zásadami přiřazenými k předplatnému nebo skupině pro správu, kterou jste vybrali.

  • Pomocí odkazů v horní části otevřete přiřazení zásad, které platí pro předplatné nebo skupinu pro správu. Tyto odkazy umožňují přístup k přiřazení a úpravám nebo zakázání zásad. Pokud například zjistíte, že určité přiřazení zásad efektivně zamítá ochranu koncových bodů, použijte odkaz k úpravě nebo zakázání zásady.
  • V seznamu zásad uvidíte efektivní použití zásad ve vašem předplatném nebo skupině pro správu. Nastavení jednotlivých zásad, které se vztahují na rozsah, se zohlední a zobrazí se kumulativní výsledek akcí provedených zásadou. Pokud je například jedno přiřazení zásady zakázané, ale v jiné je nastaveno na AuditIfNotExist, kumulativní účinek použije AuditIfNotExist. Aktivní efekt má vždy přednost.
  • Účinek zásad může být: Připojení, Audit, AuditIfNotExists, Deny, DeployIfNotExists nebo Disabled.