適用於雲端的 Microsoft Defender 的法規合規性標準
適用於雲端的 Microsoft Defender 協助您找到讓您無法符合特定合規性標準或達到合規性認證的問題,簡化法規合規性流程。
在適用於雲端的 Microsoft Defender,產業標準、法規標準和基準顯示為法規合規性儀表板的安全性標準。
合規性控制措施
每個安全性標準都包含多個合規性控制項,亦即相關安全性建議的邏輯群組。
適用於雲端的 Microsoft Defender 會持續根據任何可自動評定的合規性控制項,評定範圍內的環境。 根據評量,它會以符合規範或不符合規範的方式顯示資源。
注意
請務必注意,如果標準具有無法自動評定的合規性控制項,適用於雲端的 Defender 就無法判斷資源是否符合控制項規定。 在這個情況下,控制項會顯示為灰色。
檢視合規性標準
法規合規性儀表板提供合規性狀態的互動式概觀。
在儀表板您可以:
- 取得已通過的標準控制項摘要。
- 取得資源通過率最低標準的摘要。
- 檢閱套用於選定範圍內的標準。
- 檢閱每個套用標準內合規性控制項的評量。
- 取得特定標準的摘要報告。
- 管理合規性政策,查看指派給特定範圍的標準。
- 執行查詢,建立自訂合規性報告
- 建立「一段時間的合規性活頁簿」,追蹤一段時間的合規性狀態。
- 下載稽核報告。
- 檢閱 Microsoft 和第三方稽核的合規性供應項目。
合規性標準詳細資料
針對每個合規性標準,您可以檢視:
- 標準的範圍。
- 每個標準細分為控制項和子控制項群組。
- 將標準套用至範圍時,您可以針對每個標準控制項,查看範圍內資源的合規性評量摘要。
- 評量的狀態會反映是否符合標準規範。 有三種狀態:
- 綠色圓圈表示範圍中的資源符合控制項規範。
- 紅色圓圈表示資源不符合控制項規範。
- 無法自動評定的控制項無法使用,因此適用於雲端的 Microsoft Defender 無法評定資源是否符合規範。
您可以向下切入控制項,取得已通過/未通過評定之資源及其補救步驟的相關資訊。
預設合規性標準
根據預設,啟用適用於雲端的 Microsoft Defender 時,會啟用下列標準:
- 針對 Azure:Microsoft 雲端安全性基準 (MCSB)。
- 針對 AWS:Microsoft 雲端安全性基準 (MCSB) 和 AWS 基礎安全性最佳做法標準。
- 針對 GCP:Microsoft 雲端安全性基準 (MCSB) 和 GCP 預設。
可用的合規性標準
適用於雲端的 Defender 中提供以下標準:
| Azure 訂用帳戶的標準 | AWS 帳戶的標準 | GCP 專案的標準 |
|---|---|---|
| Australian Government ISM Protected | AWS Foundational Security Best Practices | Brazilian General Personal Data Protection Law (LGPD) |
| 加拿大聯邦 PBMM | AWS Well-Architected Framework | 加州消費者隱私權法案 (CCPA) |
| CIS Azure Foundations | Brazilian General Personal Data Protection Law (LGPD) | CIS Controls |
| CIS Azure Kubernetes Service (AKS 基準) | 加州消費者隱私權法案 (CCPA) | CIS GCP Foundations |
| CMMC | CIS Amazon Elastic Kubernetes Service (EKS) 基準 | CIS Google Cloud Platform Foundation Benchmark |
| FedRAMP ‘H’ & ‘M’ | CIS AWS Foundations | CIS Google Kubernetes Engine (GKE) Benchmark |
| HIPAA/HITRUST | CRI Profile | CRI Profile |
| ISO/IEC 27001 | CSA Cloud Controls Matrix (CCM) | CSA Cloud Controls Matrix (CCM) |
| 紐西蘭 ISM 受限 | GDPR | Cybersecurity Maturity Model Certification (CMMC) |
| NIST SP 800-171 | ISO/IEC 27001 | FFIEC Cybersecurity Assessment Tool (CAT) |
| NIST SP 800-53 | ISO/IEC 27002 | GDPR |
| PCI DSS | NIST Cybersecurity Framework (CSF) | ISO/IEC 27001 |
| RMIT 馬來西亞 | NIST SP 800-172 | ISO/IEC 27002 |
| SOC 2 | PCI DSS | ISO/IEC 27017 |
| 西班牙 ENS | NIST Cybersecurity Framework (CSF) | |
| SWIFT CSP CSCF | NIST SP 800-53 | |
| 英國官方和英國 NHS | NIST SP 800-171 | |
| NIST SP 800-172 | ||
| PCI DSS | ||
| Sarbanes Oxley Act (SOX) | ||
| SOC 2 |