你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

修正来宾配置建议

注意

由于 Log Analytics 代理（也称为 MMA）将于 2024 年 11 月停用，因此在停用日期之前，当前依赖它的所有 Defender for Servers 功能（包括本页所述的功能）都将通过 Microsoft Defender for Endpoint 集成或无代理扫描提供。 有关当前依赖于 Log Analytics 代理的每个功能的路线图详细信息，请参阅此公告。

Defender for Cloud 评估连接到订阅的虚拟机 (VM) 的基线配置错误。 评估会根据预定义的安全基线评估 VM，识别任何可能导致潜在风险的偏差或配置错误。 通过将 VM 与安全最佳实践和组织策略保持一致，可以维护可靠且安全的计算环境。

计算机信息通过 Azure Policy 来宾配置收集，评估基于涵盖各种合规基准和法规的 Microsoft 基准。 例如，CIS、STIG 等。 Azure Policy 来宾配置为订阅启用以下策略：

• 适用于 Windows 的 Azure Policy 来宾配置基线

• 适用于 Linux 的 Azure Policy 来宾配置基线

注意

如果移除这些策略，则无法获得 Azure Policy 来宾配置扩展的益处。

先决条件

• 为订阅启用 Defender for Servers 计划 2。

• 查看 Defender for Cloud 定价页，了解 Defender Server 计划 2 定价信息。

重要

请注意，Defender for Cloud 门户外部的 Azure Policy 来宾配置提供的其他功能未包含在 Defender for Cloud 中，并且受 Azure Policy 来宾配置定价策略约束。 例如修正和自定义策略。 有关详细信息，请参阅 Azure Policy 来宾配置定价页。

• 查看 Azure Policy 来宾配置的支持矩阵。

• 在计算机上安装 Azure Policy 来宾配置：

  • Azure 计算机：在 Defender for Cloud 门户中的建议页上，搜索并选择应在计算机上安装的来宾配置扩展，然后修正建议。

  • 仅限 Azure VM 必须在 Defender for Cloud 门户中分配托管标识。 导航到“建议”页面。 搜索并选择应使用系统分配的托管标识来部署虚拟机的来宾配置扩展。 然后修正建议。

  • （可选）仅限 Azure VM：在整个订阅中启用 Azure Policy 来宾配置。

  • 在整个订阅中为 Azure 计算机启用 Azure Policy 来宾配置扩展：

    1. 登录到 Azure 门户。

    2. 搜索并选择“Microsoft Defender for Cloud”。

    3. 导航到“环境设置”>“你的订阅”>“设置和监视”。

       

    4. 将来宾配置代理（预览版）切换为“打开”。

       

    5. 选择“继续”。

  • GCP 和 AWS：将 GCP 项目或启用了 Azure Arc 自动预配的 AWS 帐户连接到 Defender for Cloud 时，会自动安装 Azure Policy 来宾配置。

  • 本地计算机：将本地计算机载入为启用 Azure Arc 的计算机或 VM 时，默认启用 Azure Policy 来宾配置。

查看和修正来宾配置建议

将 Azure Policy 来宾配置载入订阅后，Defender for Cloud 便开始根据安全基线评估 VM。 根据您的环境，如果发现配置错误，以下建议可能会显示在“建议”页上：

• 应修正 Windows 虚拟机上的安全配置漏洞（由来宾配置提供支持）
• 应修正 Linux 虚拟机上的安全配置漏洞（由来宾配置提供支持）

查看并修正以下项：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud> 建议**。

3. 搜索并选择一项建议。

4. 查看建议。

5. 修正建议。

注意

在 Log Analytics 代理（也称为 Microsoft Monitoring Agent (MMA)）的弃用过程中，可能会收到同一台计算机的重复建议。 这是因为 MMA 和 Azure Policy 来宾配置都在评估同一台计算机。 若要避免这种情况，可以在计算机上禁用 MMA。

使用 API 查询建议

Defender for Cloud 使用适用于 API 的 Azure Resource Graph 和门户查询来查询建议信息。 可以利用这些资源创建自己的查询，以检索信息。

可以了解如何在 Azure Resource Graph 中查看建议。

以下是您可以使用的两个示例查询：

• 查询特定资源的所有运行不正常的规则

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• 所有运行不正常的规则以及每个对应的运行不正常计算机的数量

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

可以通过详细了解 Azure Resource Graph 的查询语言，了解如何创建更深入的查询。

注意

在 Log Analytics 代理（也称为 Microsoft Monitoring Agent (MMA)）的弃用过程中，可能会收到同一台计算机的重复建议。 这是因为 MMA 和 Azure Policy 来宾配置都在评估同一台计算机。 若要避免这种情况，可以在计算机上禁用 MMA。

下一步

查看 Docker 主机强化建议