Verwalten von MCSB-Empfehlungen in Defender for Cloud
Microsoft Defender for Cloud bewertet Ressourcen anhand von Sicherheitsstandards. Wenn Sie für Cloudkonten ein Onboarding in Defender for Cloud ausführen, wird der Microsoft Cloud Security Benchmark (MCSB)-Standard standardmäßig aktiviert. Defender for Cloud beginnt mit dem Bewerten des Sicherheitsstatus Ihrer Ressource anhand von Kontrollen im MCSB-Standard und gibt Sicherheitsempfehlungen basierend auf diesen Bewertungen aus.
In diesem Artikel wird beschrieben, wie Sie Empfehlungen des MCSB verwalten.
Vorbereitung
In Defender for Cloud gibt es zwei spezifische Rollen, die Sicherheitselemente anzeigen und verwalten können:
- Sicherheitsleseberechtigter: Verfügt über Rechte zum Anzeigen von Defender für Cloud-Elementen, z. B. Empfehlungen, Warnungen, Richtlinien und Integritätsinformationen. Änderungen können nicht vorgenommen werden.
- Sicherheitsadministrator: Verfügt über die gleichen Rechte wie Sicherheitsleseberechtigter. Sie können auch Sicherheitsrichtlinien aktualisieren und Warnungen schließen.
Ablehnen und Erzwingen von Empfehlungen
Ablehnen wird verwendet, um das Bereitstellen von Ressourcen zu verhindern, die nicht dem MCSB entsprechen. Wenn Sie z. B. über ein Steuerelement „Ablehnen“ verfügen, das angibt, dass ein neues Speicherkonto bestimmte Kriterien erfüllen muss, kann kein Speicherkonto erstellt werden, das diese Kriterien nicht erfüllt.
Mit Erzwingen können Sie den DeployIfNotExist-Effekt in Azure Policy nutzen und beim Erstellen nicht kompatible Ressourcen automatisch korrigieren.
Hinweis
Erzwingen und Verweigern sind auf Azure-Empfehlungen anwendbar und werden von einer Teilmenge von Empfehlungen unterstützt.
Um zu überprüfen, welche Empfehlungen Sie ablehnen und erzwingen können, wählen Sie auf der Registerkarte Standards auf Seite Sicherheitsrichtlinien Microsoft Cloud Security Benchmark aus. Führen Sie dann einen Drilldown durch, um festzustellen, ob die Verweigerungs-/Erzwingungsaktionen verfügbar sind.
Verwalten von Empfehlungseinstellungen
Hinweis
- Wenn eine Empfehlung deaktiviert ist, sind alle ihre Unterempfehlungen davon ausgenommen.
- Die Effekte Deaktiviert und Deny sind nur für Azure-Umgebung verfügbar.
Öffnen Sie im Defender for Cloud-Portal die Seite Umgebungseinstellungen.
Wählen Sie das Cloudkonto oder das Verwaltungskonto aus, für das Sie MCSB-Empfehlungen verwalten möchten.
Öffnen Sie die Seite Sicherheitsrichtlinien, und wählen Sie den MCSB-Standard aus. Der Standard sollte aktiviert sein.
Wählen Sie die Auslassungspunkte >Empfehlungen verwalten aus.
Wählen Sie neben der relevanten Empfehlung das Menü mit den Auslassungspunkten aus, und klicken Sie auf Effekt und Parameter verwalten.
- Um eine Empfehlung zu aktivieren, wählen Sie Überprüfung aus.
- Um eine Empfehlung zu deaktivieren, wählen Sie aus Deaktiviert aus.
- Um eine Empfehlung abzulehnen oder zu erzwingen, wählen Sie Ablehnen aus.
Erzwingen einer Empfehlung
Sie können eine Empfehlung nur über die Seite mit den Empfehlungsdetails erzwingen.
Öffnen Sie im Defender for Cloud-Portal die Seite Empfehlungen, und wählen Sie die relevante Empfehlung aus.
Wählen Sie im oberen Menü Erzwingen aus.
Wählen Sie Speichern.
Die Einstellung wird sofort wirksam, Empfehlungen werden jedoch basierend auf ihrem Aktualisierungsintervall aktualisiert (bis zu 12 Stunden).
Ändern zusätzlicher Parameter
Es ist möglicherweise erforderlich, zusätzliche Parameter für einige Empfehlungen zu konfigurieren. Beispielsweise haben Empfehlungen für die Diagnoseprotokollierung einen Standardaufbewahrungszeitraum von einem Tag. Sie können diesen Standardwert ändern.
Auf der Seite mit den Empfehlungsdetails gibt die Spalte Zusätzliche Parameter an, ob einer Empfehlung zusätzliche Parameter zugeordnet sind.
- Standard: Die Empfehlung wird mit der Standardkonfiguration ausgeführt.
- Konfiguriert: Die Konfiguration der Empfehlung wurde gegenüber den Standardwerten geändert.
- Keine: Für die Empfehlung ist keine zusätzliche Konfiguration erforderlich.
Wählen Sie neben der MCSB-Empfehlung das Menü mit den Auslassungspunkten aus, und klicken Sie auf Effekt und Parameter verwalten.
Konfigurieren Sie im Abschnitt Zusätzliche Parameter die verfügbaren Parameter mit neuen Werten.
Wählen Sie Speichern.
Wenn Sie Änderungen rückgängig machen möchten, wählen Sie Auf Standard zurücksetzen aus, um den Standardwert für die Empfehlung wiederherzustellen.
Identifizieren potenzieller Konflikte
Konflikte können auftreten, wenn Sie über mehrere Zuweisungen von Standards mit unterschiedlichen Werten verfügen.
Um Konflikte in Effektaktionen zu identifizieren, wählen Sie unter Hinzufügen Effektkonflikt>Konflikt besteht aus.
Um Konflikte in zusätzlichen Parametern zu identifizieren, wählen Sie unter Hinzufügen Konflikt mit zusätzlichen Parametern>Konflikt besteht aus.
Wenn Konflikte gefunden werden, wählen Sie unter Empfehlungseinstellungen den erforderlichen Wert aus, und speichern Sie diesen.
Alle Zuordnungen in diesem Bereich werden an der neuen Einstellung ausgerichtet, sodass der Konflikt gelöst wird.
Nächste Schritte
Auf dieser Seite werden die Sicherheitsrichtlinien beschrieben. Zugehörige Informationen finden Sie auf den folgenden Seiten:
- Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mit Azure PowerShell
- Tutorial: Erstellen und Verwalten von Richtlinien zur Konformitätserzwingung
- Weitere Informationen dazu, wie Sie eine Richtlinie für mehrere Abonnements oder Verwaltungsgruppen mit Azure Policy festlegen
- Informationen zum Aktivieren von Defender für Cloud für alle Abonnements einer Verwaltungsgruppe