Поделиться через


Создание пользовательских стандартов безопасности и рекомендаций в Microsoft Defender для облака

Рекомендации по безопасности в Microsoft Defender для облака помогают улучшить и защитить состояние безопасности. Рекомендации основаны на оценках стандартов безопасности, определенных для подписок Azure, учетных записей AWS и проектов GCP, которые Defender для облака включены.

В этой статье описывается, как выполнить следующее:

  • Создайте пользовательские рекомендации для всех облаков (Azure, AWS и GCP) с помощью запроса KQL.
  • Назначьте пользовательские рекомендации пользовательскому стандарту безопасности.

Перед началом работы

  • Для создания нового стандарта безопасности требуется разрешение владельца подписки.
  • Вам нужны разрешения администратора безопасности для создания пользовательских рекомендаций.
  • Чтобы создать пользовательские рекомендации на основе KQL, необходимо включить план CSPM Defender. Все клиенты могут создавать пользовательские рекомендации на основе Политика Azure.
  • Просмотрите поддержку в облаках Azure для пользовательских рекомендаций.

Мы рекомендуем просматривать этот эпизод Defender для облака в поле, чтобы узнать больше о функции, а также ознакомиться с созданием запросов KQL.

Создание пользовательской рекомендации

Создайте пользовательские рекомендации, включая шаги по исправлению, серьезности и стандартам, которым должна быть назначена рекомендация. Вы добавляете логику рекомендаций с помощью KQL. Вы можете использовать простой редактор запросов со встроенным шаблоном запроса, который можно настроить по мере необходимости или записать запрос KQL с нуля.

  1. В параметрах среды Defender для облака портала >выберите соответствующую область.

  2. Выберите политики> безопасности+ Создать>пользовательскую рекомендацию.

  3. В разделе "Сведения о рекомендациях" введите сведения о рекомендации (например, имя, серьезность) и выберите стандарты, к которым вы хотите применить рекомендацию.

    Снимок экрана: место для заполнения сведений о описании рекомендации.

  4. Выберите Далее.

  5. В запросе рекомендаций напишите запрос KQL или выберите редактор запросов Open, чтобы структурировать запрос. Если вы хотите использовать редактор запросов, следуйте приведенным ниже инструкциям.

  6. После готовности запроса нажмите кнопку "Далее".

  7. В разделе "Стандарты" выберите настраиваемые стандарты, к которым необходимо добавить пользовательскую рекомендацию.

  8. и в разделе "Просмотр и создание" просмотрите сведения о рекомендациях.

    Снимок экрана: где просмотреть сведения о рекомендации.

Использование редактора запросов

Мы рекомендуем использовать редактор запросов для создания запроса рекомендаций.

  • Использование редактора помогает создавать и тестировать запрос перед началом работы с ним.
  • Выберите "Как получить справку по структурированию запроса", а также дополнительные инструкции и ссылки.
  • Редактор содержит примеры встроенных запросов рекомендаций, которые можно использовать для создания собственного запроса. Данные отображаются в той же структуре, что и в API.
  1. В редакторе запросов выберите "Создать запрос", чтобы создать запрос

  2. Используйте пример шаблона запроса со своими инструкциями или выберите пример встроенного запроса рекомендаций для начала работы.

    Снимок экрана: использование редактора запросов.

  3. Выберите "Выполнить запрос", чтобы проверить созданный запрос .

  4. Когда запрос будет готов, вырезать и вставить его из редактора в область запросов рекомендаций.

Использование пользовательских рекомендаций в масштабе

Создание пользовательских рекомендаций с помощью пользовательского интерфейса портал Azure лучше всего подходит для большинства пользователей. Интерфейс предоставляет удобный редактор язык запросов Kusto (KQL) и встроенные средства проверки. Однако автоматизация создания рекомендаций с программным подходом может оказаться полезной. Этот метод особенно полезен при развертывании рекомендаций во многих средах или подписках.

Автоматизация с помощью API

Если вы предварительно оцените запросы KQL и хотите автоматизировать создание пользовательских рекомендаций, можно использовать интерфейс программирования приложений Azure Defender для облака (API). Этот метод позволяет быстро развертывать рекомендации, обеспечивая согласованность и масштабируемость в облачных средах.

  • Преимущества. Вы можете автоматизировать и масштабировать развертывание пользовательских рекомендаций.
  • При использовании: этот метод идеально подходит для крупномасштабных реализаций, где необходимо последовательно применять рекомендации в нескольких средах.

Дополнительные сведения об использовании API для управления пользовательскими рекомендациями см. в документации по API.

Создание настраиваемого стандарта

Пользовательские рекомендации можно назначить одному или нескольким пользовательским стандартам.

  1. Войдите на портал Azure.

  2. Перейдите к разделу Microsoft Defender для облака>Параметры среды.

  3. Выберите соответствующую область.

  4. Выберите политики> безопасности+ Создать>стандарт.

  5. В разделе "Рекомендации" выберите рекомендации, которые необходимо добавить в пользовательский стандарт. Для подписок Azure также можно просмотреть источник.

    Снимок экрана: список всех рекомендаций, доступных для выбора пользовательского стандарта.

  6. Нажмите кнопку создания.

Создание и улучшение пользовательских рекомендаций с помощью Политика Azure (устаревшая версия)

Для подписок Azure можно создавать пользовательские рекомендации и стандарты, а также улучшать их с помощью Политика Azure. Это устаревшая функция, и мы рекомендуем использовать новую пользовательскую функцию рекомендаций.

Создание пользовательской рекомендации или стандарта (устаревшая версия)

Вы можете создавать пользовательские рекомендации и стандарты в Defender для облака, создавая определения и инициативы политики в Политика Azure, а также подключение к ним в Defender для облака.

Вот как это сделать:

  1. Создайте одно или несколько определений политик на портале Политика Azure или программным способом.
  2. Создайте инициативу политики, содержащую определения настраиваемых политик.

Подключение инициативы как настраиваемого стандарта (устаревшая версия)

Назначения политик используются Политика Azure для назначения ресурсов Azure политике или инициативе.

Чтобы подключить инициативу к пользовательскому стандарту безопасности в Defender, необходимо включить "ASC":"true" в текст запроса, как показано здесь. Поле ASC подключает инициативу к Microsoft Defender для облака.

Ниже приведен пример того, как это сделать.

Пример подключения настраиваемой инициативы

  PUT  
  PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policySetDefinitions/{policySetDefinitionName}?api-version=2021-06-01

  Request Body (JSON) 

  {
    "properties": {
      "displayName": "Cost Management",
      "description": "Policies to enforce low cost storage SKUs",
      "metadata": {
        "category": "Cost Management"
        "ASC":"true"
      },
      "parameters": {
        "namePrefix": {
          "type": "String",
          "defaultValue": "myPrefix",
          "metadata": {
            "displayName": "Prefix to enforce on resource names"
          }
        }
      },
      "policyDefinitions": [
        {
          "policyDefinitionId": "/subscriptions/<Subscription ID>/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
          "policyDefinitionReferenceId": "Limit_Skus",
          "parameters": {
            "listOfAllowedSKUs": {
              "value": [
                "Standard_GRS",
                "Standard_LRS"
              ]
            }
          }
        },
        {
          "policyDefinitionId": "/subscriptions/<Subscription ID>/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
          "policyDefinitionReferenceId": "Resource_Naming",
          "parameters": {
            "prefix": {
              "value": "[parameters('namePrefix')]"
            },
            "suffix": {
              "value": "-LC"
            }
          }
        }
      ]
    }
  }

Пример удаления назначения

В этом примере показано, как удалять назначения:

  DELETE   
  https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

Улучшение пользовательских рекомендаций (устаревшая версия)

Встроенные рекомендации, предоставляемые Microsoft Defender для облака, включают в себя такие сведения, как уровни серьезности и инструкции по исправлению. Если вы хотите добавить эту информацию в пользовательские рекомендации для Azure, используйте REST API.

Можно добавить два типа сведений.

  • RemediationDescription (описание исправления) — строка
  • Severity (серьезность) — перечисление [Low, Medium, High] (низкий, средний, высокий)

Метаданные должны быть добавлены в определение политики, которая является частью пользовательской инициативы. Он должен находиться в свойстве securityCenter, как показано ниже.

 "metadata": {
  "securityCenter": {
    "RemediationDescription": "Custom description goes here",
    "Severity": "High"
    },

Ниже приведен еще один пример настраиваемой политики, включая свойство metadata/securityCenter:

{
"properties": {
"displayName": "Security - ERvNet - AuditRGLock",
"policyType": "Custom",
"mode": "All",
"description": "Audit required resource groups lock",
"metadata": {
  "securityCenter": {
    "RemediationDescription": "Resource Group locks can be set via Azure Portal -> Resource Group -> Locks",
    "Severity": "High"
 }
},
"parameters": {
  "expressRouteLockLevel": {
    "type": "String",
    "metadata": {
      "displayName": "Lock level",
      "description": "Required lock level for ExpressRoute resource groups."
    },
    "allowedValues": [
      "CanNotDelete",
      "ReadOnly"
    ]
  }
},
"policyRule": {
  "if": {
    "field": "type",
    "equals": "Microsoft.Resources/subscriptions/resourceGroups"
  },
  "then": {
    "effect": "auditIfNotExists",
    "details": {
      "type": "Microsoft.Authorization/locks",
      "existenceCondition": {
        "field": "Microsoft.Authorization/locks/level",
        "equals": "[parameters('expressRouteLockLevel')]"
      }
    }
  }
}
}
}

Другой пример использования свойства securityCenter см . в этом разделе документации по REST API.

Для получения дополнительных сведений о запросах Kusto можно использовать следующие ссылки: