適用於雲端的 Defender 中的安全性原則
適用於雲端的 Microsoft Defender 中的安全策略包括安全性標準和改善雲端安全性狀態的建議。
如果不符合條件,安全性標準會定義規則、合規性條件和動作(效果)。 適用於雲端的 Defender 根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中的安全性標準評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟來補救安全性問題。
安全性標準
適用於雲端的 Defender 的安全性標準源自下列來源:
Microsoft雲端安全性效能評定 (MCSB):將雲端帳戶上線至 Defender 時,預設會套用 MCSB 標準。 您的安全分數是根據一些 MCSB 建議的評量。
法規合規性標準:當您啟用一或多個 適用於雲端的 Defender 方案時,您可以從各種預先定義的法規合規性計劃新增標準。
自定義標準:您可以在 適用於雲端的 Defender 中建立自定義安全性標準,並視需要新增內建和自定義建議。
適用於雲端的 Defender的安全性標準是以 Azure 原則計劃或 適用於雲端的 Defender 原生平臺為基礎。 Azure 標準目前是以 Azure 原則 為基礎,而 AWS 和 GCP 標準則以 適用於雲端的 Defender 為基礎。
使用安全性標準
您可以在 適用於雲端的 Defender 中使用安全性標準來執行下列動作:
修改訂用帳戶的內建 MCSB:當您啟用 適用於雲端的 Defender 時,MCSB 會自動指派給所有已註冊的 適用於雲端的 Defender 訂用帳戶。 深入了解如何管理 MCSB 標準。
新增法規合規性標準:如果您已啟用一或多個付費方案,您可以指派內建合規性標準來評估您的 Azure、AWS 和 GCP 資源。 深入了解指派法規標準。
新增自訂標準:如果已啟用至少一個付費 Defender 方案,您可以在適用於雲端的 Defender 入口網站中定義新的自訂標準和自訂建議。 然後,您可以將建議新增至這些標準。
自訂標準
自定義標準會與法規合規性儀錶板中的內建標準一起顯示。
根據自定義標準評估的建議會出現內建標準的建議。 自定義標準可以包含內建和自定義建議。
自訂建議
建議使用以 Kusto 查詢語言 為基礎的自定義建議,並支援所有雲端,但需要啟用Defender CSPM方案。 透過這些建議,您可以指定唯一的名稱、描述、補救步驟、嚴重性和相關標準。 您會使用 KQL 新增建議邏輯。 查詢編輯器提供您可以調整的內建查詢範本,或者您可以撰寫 KQL 查詢。
或者,所有 Azure 客戶都可以將其 Azure 原則自訂計劃上線作為自訂建議 (舊版方法)。
如需詳細資訊,請參閱在適用於雲端的 Microsoft Defender 中建立自訂安全性標準和建議。
安全性建議
適用於雲端的 Defender 會根據定義的安全性標準,持續分析及評估受保護資源的安全性狀態,以識別潛在的安全性設定錯誤和弱點。 適用於雲端的 Defender 會根據評量結果提供建議。
每個建議頁面都包含下列資訊:
- 問題的簡短描述
- 實作建議的補救步驟
- 受影響的資源
- 風險等級
- 風險因素
- 攻擊路徑
適用於雲端的 Defender 中的每個建議都有相關聯的風險層級,代表安全性問題的惡意探索和影響程度。 風險評估引擎會考慮因特網暴露、數據敏感度、橫向移動可能性,以及攻擊路徑補救等因素。 您可以根據風險層級排定建議的優先順序。
重要
風險優先順序不會影響安全分數。
範例
MCSB 標準是包含多個合規性控制的 Azure 原則倡議。 這些控制項其中之一是「儲存體帳戶應該使用虛擬網路規則來限制網路存取。」
適用於雲端的 Defender 會持續評估資源。 如果其發現任何不符合此控制的資源,則會將其標示為不符合規範,並觸發建議。 在此情況下,指引是強化 Azure 儲存體 未受虛擬網路規則保護的帳戶。