配置用于合规性管理器的云设置
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
设置多云支持
合规性管理器与 Microsoft Defender for Cloud 集成,以提供多云支持。 组织必须在 Microsoft Azure 中至少有一个订阅,然后启用 Defender for Cloud,以便合规性管理器可以接收监视云服务所需的信号。 使用 Defender for Cloud 后,需要为订阅分配相关的行业和法规标准。
根据组织已设置的内容,跳转到以下与你的情况相符的部分,以便开始使用:
- 没有 Azure: 激活 Azure 并创建订阅
- 你有 Azure,但没有 Defender for Cloud: 在 Azure 订阅上启用 Defender for Cloud
- 你有 Defender for Cloud,但尚未分配标准: 将标准分配给云服务订阅
合规性管理器和 Defender for Cloud 支持的标准
以下列出的标准或法规在 Defender for Cloud 和合规性管理器中受到支持。 除了括号中列出的其他云服务外,每个标准都可用于支持 Microsoft 365。
提示
Defender for Cloud 是指“标准”,而合规性管理器使用“法规”来指代相同内容。
- AWS 基础安全最佳做法
- CIS 1.1.0 (GCP)
- CIS Microsoft Azure Foundations Benchmark v1.1.0 (Azure)
- CIS 1.2.0 (AWS、GCP)
- CIS Microsoft Azure Foundations Benchmark v1.3.0 (Azure)
- CIS Microsoft Azure Foundations Benchmark v1.4.0 (Azure)
- FedRAMP High (Azure)
- FedRAMP Moderate (Azure)
- ISO 27001 (Azure、GCP)
- NIST SP 800-171 Rev.2 (Azure)
- NIST SP 800-53 Rev.4 (Azure)
- NIST SP 800 53 Rev.5 (Azure、AWS、GCP)
- PCI DSS 3.2.1 (AWS、GCP)
- PCI DSS v4.0 (Azure)
- SOC 2 类型 2 (Azure)
- SWIFT CSP-CDCF v2022 (Azure)
激活 Azure 并创建订阅
在 Microsoft Azure 中设置订阅是开始使用 Defender for Cloud 的先决条件。 如果没有订阅,可以 注册免费帐户。
启用 Defender for Cloud
请访问快速入门:设置 Microsoft Defender for Cloud。 按照步骤在 Azure 订阅上启用 Defender for Cloud,并熟悉 Defender for Cloud 概述页。 启用 Defender for Cloud 后,请按照以下步骤操作,确保已设置合规性管理器集成。
大多数安装函数要求用户在 Azure 中拥有所有者角色。 获取有关 Defender for Cloud 的用户角色和权限的更多详细信息。
确认对 Defender for Cloud 合规性的访问权限
验证是否看到如下仪表板:
如果未看到上述仪表板,而是看到有关许可不足的通知,请按照提示激活适用的 Defender for Cloud 计划。 建议启用以下两个计划之一:基础 CSPM 或Defender CSPM (详细了解这些计划) 。 可以按照以下步骤手动选择计划:
- 在 Defender for Cloud 中,选择左侧导航栏中的“ 环境设置 ”。
- 从环境列表中选择 “Azure ”。 展开 Azure 下的项以查看订阅,然后选择订阅。 你将到达 Defender 计划 页。
- 在“计划”列中,找到“基础 CSPM”和“Defender CSPM”行。 在 “状态” 行中,选择这两个计划的“ 打开 ”按钮。
查看可用环境
在 Defender for Cloud 中,选择左侧导航栏中的“ 环境设置 ”。
查看租户的 MDC 当前可见的可用环境和订阅。 可能需要展开管理组才能查看订阅,这可以通过选择搜索栏下方的“ 全部展开 ”来执行。 除了 Azure 订阅,你还将看到连接到 Defender for Cloud 的任何 Google Cloud Platform (GCP) 项目或 Amazon Web Services (AWS) 帐户。
如果未看到预期的订阅,并且已在前面的步骤中确认 Defender for Cloud 许可,请在 Azure 门户设置中检查当前目录和订阅筛选器。 在此视图中,可以调整任何订阅筛选器或切换到其他目录(如果有),然后返回到“环境设置”视图以检查结果。
如果未看到预期的 AWS 或 GCP 环境、帐户或项目,请继续执行下一步来设置必要的连接器。
连接到 Amazon Web Services 或 Google Cloud Provider 帐户, (可选)
如果你有 Amazon Web Services (AWS) 帐户或 Google Cloud Platform (GCP) 项目,你希望合规性管理器评估合规性状况,但尚未在 Azure 环境设置中看到这些帐户或项目,请按照这些说明操作。 完成此过程后,可以在大约一小时内开始向连接的 AWS 或 GCP 订阅分配标准,但完整数据最长可能需要 24 小时才能显示。
在 Defender for Cloud 中,选择左侧导航栏中的“ 环境设置 ”。
选择 “添加环境 ”,然后选择 “Amazon Web Services ”或 “Google Cloud Platform”。
按照向导步骤完成帐户设置。 连接到帐户需要正在使用的 AWS 或 GCP 帐户中的管理员权限,以及 AWS 或 GCP 中的一些配置步骤。 向导中详细介绍了这些步骤。
- 对于简单的设置选项,请考虑仅从一个帐户(如 GCP)开始。 在 “帐户详细信息”的第一步中,在 “载入”中,选择“ 单一帐户”。 此选项所需的配置工作量最少。
向订阅添加标准
查看 Defender for Cloud 和合规性管理器支持的标准列表 ,确保支持所需的标准。 然后按照以下步骤操作。
在 Defender for Cloud 中,选择左侧导航栏中的“ 环境设置 ”。
页面上列出了可用的环境和订阅。 可能需要展开管理组才能查看订阅,这可以通过选择搜索栏下方的“ 全部展开 ”来执行。 查找要向其添加标准的订阅。
在订阅的行上,选择最右侧的省略号,然后选择 “编辑设置”。
在左侧导航的 “策略设置”下,选择“ 安全策略”。
浏览 “行业 & 法规标准”下的可用标准列表。 可以通过选择列表底部的“ 添加更多标准 ”按钮来查看更多标准。 通过在标准行中选择 “启用 ”,将下面列出的至少一个受支持的标准分配给订阅。