Dodawanie inicjatyw niestandardowych do Microsoft Defender dla Chmury

Ukończone

Co to są zasady zabezpieczeń, inicjatywy

Microsoft Defender dla Chmury stosuje inicjatywy zabezpieczeń do subskrypcji. Te inicjatywy zawierają co najmniej jedną zasady zabezpieczeń. Każda z tych zasad powoduje zalecenie dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń.

Co to jest inicjatywa zabezpieczeń?

Inicjatywa zabezpieczeń to zbiór definicji lub reguł usługi Azure Policy, które są grupowane razem w celu lub celu. Inicjatywy zabezpieczeń upraszczają zarządzanie zasadami, grupując zestaw zasad logicznie jako pojedynczy element.

Inicjatywa zabezpieczeń definiuje żądaną konfigurację obciążeń i pomaga zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych.

Podobnie jak zasady zabezpieczeń, inicjatywy Defender dla Chmury są również tworzone w usłudze Azure Policy. Za pomocą usługi Azure Policy można zarządzać zasadami, tworzyć inicjatywy i przypisywać inicjatywy do wielu subskrypcji lub całych grup zarządzania.

Domyślna inicjatywa automatycznie przypisana do każdej subskrypcji w Microsoft Defender dla Chmury to test porównawczy zabezpieczeń w chmurze firmy Microsoft. Ten test porównawczy to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.

Defender dla Chmury oferuje następujące opcje pracy z inicjatywami i zasadami zabezpieczeń:

• Wyświetlanie i edytowanie wbudowanej inicjatywy domyślnej — po włączeniu Defender dla Chmury inicjatywa o nazwie "Test porównawczy zabezpieczeń w chmurze firmy Microsoft" jest automatycznie przypisywana do wszystkich Defender dla Chmury zarejestrowanych subskrypcji. Aby dostosować tę inicjatywę, możesz włączyć lub wyłączyć poszczególne zasady, edytując parametry zasad.
• Dodaj własne inicjatywy niestandardowe — jeśli chcesz dostosować inicjatywy zabezpieczeń zastosowane do subskrypcji, możesz to zrobić w Defender dla Chmury. Następnie otrzymasz rekomendacje, jeśli maszyny nie będą zgodne z utworzonymi zasadami.
• Dodawanie standardów zgodności z przepisami jako inicjatyw — pulpit nawigacyjny zgodności z przepisami Defender dla Chmury pokazuje stan wszystkich ocen w danym środowisku w kontekście określonego standardu lub regulacji (takich jak Azure Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) Special Publications (SP) SP 800-53 Rev.4, Swift's Customer Security Program (CSP) Call Session Control Function (CSCF) v2020).

Przykład: Inicjatywa zabezpieczeń builtin

Co to są zasady zabezpieczeń?

Definicja usługi Azure Policy utworzona w usłudze Azure Policy to reguła dotycząca określonych warunków zabezpieczeń, które mają być kontrolowane. Wbudowane definicje obejmują takie elementy jak kontrolowanie typu zasobów, które można wdrożyć lub wymuszanie użycia tagów na wszystkich zasobach. Możesz również utworzyć własne niestandardowe definicje zasad.

Aby zaimplementować te definicje zasad (wbudowane lub niestandardowe), musisz je przypisać. Dowolną z tych zasad można przypisać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Zasady można wyłączyć lub włączyć w usłudze Azure Policy.

W usłudze Azure Policy istnieją różne typy zasad. Defender dla Chmury głównie używa zasad inspekcji, które sprawdzają określone warunki i konfiguracje, a następnie zgłaszają zgodność. Istnieją również zasady wymuszania, które mogą służyć do stosowania ustawień zabezpieczeń.

Przykład: wbudowane zasady zabezpieczeń

Defender dla Chmury używa kontroli dostępu opartej na rolach (RBAC) platformy Azure, która udostępnia wbudowane role, które można przypisać do użytkowników, grup i usług platformy Azure. Gdy użytkownicy otwierają Defender dla Chmury, widzą tylko informacje związane z zasobami, do których mogą uzyskiwać dostęp. Użytkownicy mają przypisaną rolę właściciela, współautora lub czytelnika do subskrypcji zasobu.

Istnieją dwie konkretne role dla Defender dla Chmury:

1. Administrator zabezpieczeń: ma te same uprawnienia do wyświetlania co czytelnik zabezpieczeń. Można również zaktualizować zasady zabezpieczeń i odrzucić alerty.
2. Czytelnik zabezpieczeń: ma uprawnienia do wyświetlania Defender dla Chmury elementów, takich jak zalecenia, alerty, zasady i kondycja. Nie można wprowadzać zmian.

Zasady zabezpieczeń można edytować za pośrednictwem portalu Azure Policy za pośrednictwem interfejsu API REST (Representational State Transfer Application Programming Interface) lub programu Windows PowerShell.

Ekran Zasady zabezpieczeń odzwierciedla akcję podjętą przez zasady przypisane do wybranej subskrypcji lub grupy zarządzania.

• Użyj linków u góry, aby otworzyć przypisanie zasad, które ma zastosowanie do subskrypcji lub grupy zarządzania. Te linki umożliwiają dostęp do przypisania i edytowania lub wyłączania zasad. Jeśli na przykład zobaczysz, że określone przypisanie zasad skutecznie odmawia ochrony punktu końcowego, użyj linku, aby edytować lub wyłączyć zasady.
• Na liście zasad można zobaczyć obowiązującą aplikację zasad w ramach subskrypcji lub grupy zarządzania. Ustawienia poszczególnych zasad, które mają zastosowanie do zakresu, są brane pod uwagę, a skumulowany wynik akcji podjętych przez zasady jest wyświetlany. Jeśli na przykład jedno przypisanie zasad jest wyłączone, ale w innym ustawiono wartość AuditIfNotExist, wówczas efekt skumulowany dotyczy auditIfNotExist. Bardziej aktywny efekt zawsze ma pierwszeństwo.
• Efektem zasad może być: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists lub Disabled.