Sicherheitsrichtlinien in Defender for Cloud
Sicherheitsrichtlinien in Microsoft Defender for Cloud beinhalten Sicherheitsstandards und Empfehlungen, die Ihren Cloudsicherheitsstatus verbessern.
Sicherheitsstandards: Sicherheitsstandards definieren Regeln, Compliancebedingungen, und Maßnahmen (Effekte) für den Fall, dass Bedingungen nicht erfüllt werden. Defender for Cloud bewertet Ressourcen und Workloads anhand der Sicherheitsstandards Ihres Azure-Abonnements, Ihrer Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekte. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zum Beheben von Sicherheitsproblemen und Verbessern des Sicherheitsstatus.
Sicherheitsstandards
Sicherheitsstandards in Defender for Cloud stammen aus diesen Quellen:
Microsoft Cloud Security Benchmark (MCSB): Der MCSB-Standard wird standardmäßig angewendet, wenn Sie Cloudkonten in Defender integrieren. Ihre Sicherheitsbewertung basiert auf der Bewertung einiger MCSB-Empfehlungen.
Standards zur Einhaltung von Vorschriften: Wenn Sie einen oder mehrere Defender for Cloud-Pläne aktivieren, können Sie zusätzlich Standards von mehreren vordefinierten Programmen zur Einhaltung von Vorschriften hinzufügen.
Benutzerdefinierte Standards: Sie können benutzerdefinierte Sicherheitsstandards in Defender for Cloud erstellen und bei Bedarf integrierte und benutzerdefinierte Empfehlungen hinzufügen.
Sicherheitsstandards in Defender for Cloud basieren auf Azure Policy-Initiativen oder der für Defender for Cloud nativen Plattform. Derzeit basieren Azure-Standards auf der Azure-Richtlinie, während AWS- und GCP-Standards auf Defender for Cloud basieren.
Anwenden von Sicherheitsstandards
Sie können die folgenden Aktionen mit Sicherheitsstandards in Defender for Cloud ausführen:
Ändern des integrierten MCSB für das Abonnement: Wenn Sie Defender for Cloud aktivieren, wird das MCSB automatisch allen registrierten Abonnements von Defender for Cloud zugewiesen. Erfahren Sie mehr über die Verwaltung des MCSB-Standards.
Hinzufügen von Standards zur Einhaltung von Vorschriften: Wenn sie mindestens einen kostenpflichtigen Plan aktiviert haben, können Sie integrierte Compliancestandards zuweisen, mit denen Sie Ihre Azure-, AWS- und GCP-Ressourcen bewerten können. Weitere Informationen zum Zuweisen gesetzlicher Standards
Hinzufügen von benutzerdefinierten Standards – Wenn mindestens ein kostenpflichtiger Defender-Plan aktiviert ist, können Sie neue benutzerdefinierte Standards und benutzerdefinierte Empfehlungen im Defender for Cloud-Portal definieren. Anschließend können Sie diesen Standards Empfehlungen hinzufügen.
Benutzerdefinierte Standards
Benutzerdefinierte Standards werden zusammen mit integrierten Standards im Compliance-Dashboard angezeigt.
Empfehlungen, die von Bewertungen gegen benutzerdefinierte Standards abgeleitet werden, werden mit Empfehlungen aus integrierten Standards angezeigt. Benutzerdefinierte Standards können integrierte und benutzerdefinierte Empfehlungen enthalten.
Benutzerdefinierte Empfehlungen
Die Verwendung von benutzerdefinierten Empfehlungen, die auf der Kusto-Abfragesprache (Kusto Query Language, KQL) basieren, ist empfohlen und wird für alle Clouds unterstützt, erfordert jedoch die Aktivierung des Defender CSPM-Plans. Mit diesen Empfehlungen geben Sie einen eindeutigen Namen, eine Beschreibung, Wartungs- bzw. Problembehandlungsschritte, den Schweregrad und die relevanten Standards an. Sie fügen Empfehlungslogik mit KQL hinzu. Ein Abfrageeditor bietet eine integrierte Abfragevorlage, die Sie optimieren können, oder Sie können eine eigene KQL-Abfrage schreiben.
Alternativ können alle Azure-Kunden das Onboarding für ihre benutzerdefinierten Azure Policy-Initiativen durchführen, um diese als benutzerdefinierte Empfehlungen zu integrieren (Legacyansatz).
Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen in Microsoft Defender für Cloud.
Sicherheitsempfehlungen
Defender for Cloud analysiert und bewertet kontinuierlich den Sicherheitsstatus geschützter Ressourcen anhand definierter Sicherheitsstandards, um potenzielle Sicherheitsfehler und Schwachstellen zu identifizieren. Defender for Cloud bietet Empfehlungen basierend auf Bewertungsergebnissen.
Jede Empfehlung umfasst die folgenden Informationen:
- Eine kurze Problembeschreibung
- Korrekturschritte für die Implementierung der Empfehlung
- Betroffene Ressourcen
- Risiko-Level
- Risikofaktoren
- Angriffspfade
Jede Empfehlung in Defender for Cloud verfügt über eine zugeordnete Risikostufe, die angibt, wie angreifbar und wirkungsvoll das Sicherheitsproblem in Ihrer Umgebung ist. Das Modul zur Risikobewertung berücksichtigt Faktoren wie die Internet-Exposition, die Vertraulichkeit der Daten, die Möglichkeit von Seitwärtsbewegungen, die Behebung von Angriffswegen und vieles mehr. Sie können Empfehlungen basierend auf Risikostufen priorisieren.
Wichtig
Risikopriorisierung wirkt sich nicht auf die Sicherheitsbewertung aus.
Beispiel
Der MCSB-Standard ist eine Azure Policy-Initiative, die mehrere Compliance-Kontrollen enthält. Eines dieser Steuerelemente lautet „Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken“.
Defender für Cloud bewertet kontinuierlich Ressourcen. Wenn ein Steuerelement gefunden wird, das dieses Steuerelement nicht erfüllt, markiert es sie als nicht konform und löst eine Empfehlung aus. In diesem Fall besteht die Empfehlung darin, Azure Storage-Konten, die nicht durch virtuelle Netzwerkregeln geschützt sind, zu härten.
Nächste Schritte
- Erfahren Sie mehr über regulatorische Compliancestandards,MCSB unddie Verbesserung der Einhaltung gesetzlicher Vorschriften .
- Erfahren Sie mehr über Sicherheitsempfehlungen.