你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
修正 OS 配置错误
Microsoft Defender for Cloud 提供安全建议,以提高组织安全状况并降低风险。 降低风险的一个重要因素是计算机强化。
Defender for Cloud 可根据 Microsoft 云安全基准 (MCSB) 提供的计算安全基线来评估操作系统设置。 使用计算机上的 Azure Policy 计算机配置扩展(以前称为来宾配置)收集计算机信息进行评估。 了解详细信息
本文介绍了如何查看评估给出的建议。
先决条件
| 要求 | 详细信息 |
|---|---|
| 计划 | 必须启用 Defender for Servers 计划 2 |
| 扩展 | Azure Policy 计算机配置必须安装在计算机上。 |
此功能以前使用 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))来收集信息。 如果你仍在使用 MMA,可能会收到针对同一台计算机的重复建议。 若要避免这种情况,可以在计算机上禁用 MMA。
查看并修正 OS 基线建议
在 Defender for Cloud 中,打开“建议”页。
选择相关建议。
对于 Windows 计算机,应修正 Windows 计算机上的安全配置漏洞(由来宾配置提供支持)。
对于 Linux 计算机,应修正 Linux 计算机上的安全配置漏洞(由来宾配置提供支持)
在建议详细信息页上,可以看到受影响的资源以及特定的安全调查结果。 修正建议。
查询建议
Defender for Cloud 使用适用于 API 的 Azure Resource Graph 和门户查询来查询建议信息。 可以利用这些资源创建自己的查询,以检索信息。
可以了解如何在 Azure Resource Graph 中查看建议。
以下是您可以使用的两个示例查询:
查询特定资源的所有运行不正常的规则
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'所有运行不正常的规则以及每个对应的运行不正常计算机的数量
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status