如何知道要使用哪个基准或标准?
Microsoft 云安全基准 (MCSB) 是 Microsoft 定义的一组规范安全建议和最佳做法,与常见的合规性控制框架(包括 CIS 控制框架、NIST SP 800-53 和 PCI-DSS)一致。 MCSB 是一套与云无关的全面安全原则,旨在推荐针对 Azure 以及其他云(如 AWS 和 GCP)的最新技术准则。 我们建议希望最大限度改进其安全态势,并且将其合规性状态与行业标准保持一致的客户使用 MCSB。
CIS 基准由独立实体 Internet 安全中心 (CIS) 编写,其中包含有关部分核心 Azure 服务的建议。 我们使用 CIS 来尝试确保其建议与 Azure 中的最新增强功能保持同步,但是它们有时会被延迟,可能会过时。 尽管如此,一些客户还是喜欢将 CIS 的这一客观第三方评估用作其初始和主要安全基线。
自我们发布 Microsoft 云安全基准以来,许多客户选择改用该基准以替代 CIS 基准。
合规性仪表板支持哪些标准?
默认情况下,法规合规性仪表板显示的是 Microsoft 云安全基准。 Microsoft 云安全基准是 Microsoft 制定的准则,适合基于常见合规框架的安全性与合规性最佳做法。 有关详细信息,请查看 Microsoft 云安全基准简介。
若要按任何其他标准跟踪合规性,需要将这些标准显式添加到仪表板中。
有关可用的监管标准的列表,请参阅 Defender for Cloud 中有哪些监管合规性标准。
AWS:当用户加入时,每个 AWS 帐户都分配了 AWS 基础安全最佳做法。 这是基于通用合规性框架的 AWS 特定的安全性和合规性最佳做法指南。
启用了一个 Defender 捆绑包的用户可以启用其他标准。
若要为 AWS 帐户添加监管合规性标准,请执行以下操作:
更多标准将被添加仪表板中,可在在法规合规性仪表板中自定义标准集中查看详细信息。
一些控件为何灰显?
对于仪表板中的每一项合规性标准,都有一个列表列出该标准的控件。 对于适用控件,可查看及格评估和未及格评估的详细信息。
某些控件为灰显状态。这些控件没有任何与之关联的 Defender for Cloud 评估。 其中的某些与程序或过程相关,因此无法通过 Defender for Cloud 进行验证。 有些控件尚未实现任何自动化策略或评估,但未来将实现这些内容。 而某些控制措施可能由平台负责,具体解释请查看云中的责任分担。
可如何从仪表板中删除 PCI-DSS、ISO 27001 或 SOC2 TSP 等内置标准?
若要自定义法规合规性仪表板,且仅关注适用于你的标准,你可删除所显示的与你的组织无关的所有法规标准。 若要删除标准,请按照从仪表板中删除标准中的说明进行操作。
我根据建议做出了建议的更改,但它没有反映在仪表板中?
在采取行动实施建议后,要等 12 个小时才会看到合规性数据的变化。 评估大约每 12 小时运行一次,因此只有在评估运行后才会看到对合规性数据造成的影响。
我需要具备哪些权限才能访问仪表板?
若要访问租户中的所有合规性数据,需要至少对租户的适用范围或所有相关订阅拥有“读取者”级别的权限。
要访问仪表板和管理标准,至少必须具备“资源策略参与者”和“安全管理员”角色 。
没有为我加载法规合规性仪表板
若要使用符合性仪表板,必须在订阅级别启用 Defender for Cloud。 如果仪表板没有正确加载,请尝试以下步骤:
- 清除浏览器缓存。
- 尝试使用其他浏览器。
- 尝试从其他网络位置打开仪表板。
可如何在仪表板中按照每种标准查看有关及格和不及格控件的报表?
在主仪表板上,可查看仪表板中有关 (1) 和“排名前 4”的最低合规性标准的及格和不及格控件的报表。 若要查看各项及格/不及格控件状态,请选择 (2)“显示所有 x”(其中,x 是你正在跟踪的标准数目)。 上下文平面会显示你跟踪的各项标准的合规性状态。
可如何以非 PDF 的格式下载带有合规性数据的报表?
选择“下载报表”时,可选择标准和格式(PDF 或 CSV)。 生成的报表将反映你在门户筛选器中选择的当前订阅集。
- PDF 报表会显示你选择的标准的汇总状态
- CSV 报表会提供每项资源的详细结果,原因是它与每项控件的关联策略相关
目前不支持下载自定义策略的报表,仅支持下载所提供的法规标准的相关报表。
可如何在法规合规性仪表板中为某些策略创建例外?
对于安全分数中包含的 MCSB 建议,可直接在门户中为一项或多项资源创建例外,如从安全分数中排除资源和建议中所述。
对于其他建议,可按照 Azure Policy 例外结构中的说明在建议本身直接创建例外。
需要哪些 Microsoft Defender 计划或许可证才能使用合规性仪表板?
如果你在任何 Azure 资源上启用了任何 Microsoft Defender 计划(Defender for Servers 计划 1 除外),则可访问 Defender for Cloud 的合规性仪表板及其所有数据和功能。
注意
对于 Defender for Servers,只会获得计划 2 的合规性信息。 计划 1 不包括法规合规性。