將自訂計畫新增至適用於雲端的 Microsoft Defender

  • 7 分鐘

什麼是安全性原則、方案

適用於雲端的 Microsoft Defender 會將安全性方案套用至您的訂閱上。 這些方案包含了一或多個安全性原則。 其中每一個原則都會產生能幫助改善安全性態勢的安全性建議。

什麼是安全性方案?

安全性方案是 Azure 原則定義的集合或為實現特定目標和目的組成再一起的規則。 安全性方案可藉由將一組原則以有邏輯的方式來分組為單一項目,以簡化對原則的管理。

安全性方案會定義工作負載所需的設定,並協助確保您符合公司或法規上的安全性需求。

如同安全性原則,適用於雲端的 Defender 方案也會在 Azure 原則中建立。 您可以使用 Azure 原則來管理原則、建置方案,以及將方案指派給多個訂閱或整個管理群組。

在適用於雲端的 Microsoft Defender 中,自動指派給每個訂用帳戶的預設方案是 Microsoft 雲端安全性基準。 此基準是 Microsoft 撰寫的一組指導方針,針對以通用合規性架構為基礎的安全性和合規性最佳做法。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

適用於雲端的 Defender 提供下列選項來處理安全性方案與原則:

  • 檢視和編輯內建預設方案 - 在啟用適用於雲端的 Defender 時,名為「Microsoft 雲端安全性基準」的方案會自動指派給所有已註冊適用於雲端的 Defender 的訂用帳戶。 若要自訂此方案,您可以編輯原則的參數來啟用或停用其中的個別原則。
  • 新增您自己的自訂方案 - 如果您想要自訂套用至訂閱的安全性方案,您可以在適用於雲端的 Defender 內執行此動作。 當機器未遵循您所建立的原則時,您就會收到建議。
  • 將法規合規性標準新增為方案 - 適用於雲端的 Defender 法規合規性儀表板會在特定標準或法規的內容中顯示環境中所有評量的狀態 (例如 Azure Center for Internet Security (CIS)、國家標準與技術局 (NIST) 特殊發行集 (SP) SP 800-53 Rev.4、Swift 的客戶安全性計畫 (CSP) 呼叫工作階段控制函式 (CSCF) v2020)。

範例:內建安全性方案

顯示 CIS Microsoft Azure 基礎基準測試範例的螢幕擷取畫面。

什麼是安全性原則?

在 Azure 原則中建立的 Azure 原則定義,即為您所要掌控之特定安全性條件的規則。 內建定義包括控制可部署的資源類型,或強制在所有資源上使用標籤等等。 您也可以建立自己的自訂原則定義。

若要實作這些原則定義 (內建或自訂定義皆然),您必須先指派它們。 您可以透過 Azure 入口網站、PowerShell 或 Azure CLI 來指派任何這些原則。 您可以從 Azure 原則停用或啟用原則。

Azure 原則中具有不同類型的原則。 適用於雲端的 Defender 主要會使用稽核原則來檢查特定條件和設定,然後回報其合規性。 另外還有 [強制執行] 原則可用來套用安全性設定。

範例:內建安全性原則

螢幕擷取畫面,顯示基本原則定義的範例,以稽核沒有受控磁碟的 VM。

適用於雲端的 Defender 會使用 Azure 角色型存取控制 (Azure RBAC),以提供可指派給 Azure 使用者、群組與服務的內建角色。 當使用者開啟適用於雲端的 Defender 時,他們只會看到與他們可以存取之資源相關的資訊。 使用者會獲派資源訂用帳戶的擁有者、參與者或讀取者角色。

有兩個特定角色適用於雲端的 Defender:

  1. 安全性管理員:具有與安全性讀取者相同的檢視權限。 也可以更新安全性原則並關閉警示。
  2. 安全性讀取者:有權檢視適用於雲端的 Defender 項目,例如建議、警示、原則和健康情況。 無法進行變更。

顯示哪個安全性角色可以檢視、更新和關閉警示的圖表。

您可以透過 Azure 原則入口網站編輯安全性原則,透過具象狀態傳輸應用程式開發介面 (REST API) 或使用 Windows PowerShell。

[安全性原則] 畫面反映了在您選取的訂用帳戶或管理群組上指派的原則所採取的動作。

  • 使用頂端的連結,開啟套用於訂用帳戶或管理群組的原則指派。 透過這些連結,您可以存取指派並編輯或停用原則。 例如,如果您看到特定原則指派有效地拒絕端點保護,則可使用該連結來編輯或停用原則。
  • 在原則清單中,您可以查看原則在您的訂用帳戶或管理群組上的有效應用程式。 範圍所套用之每個原則的設定會納入考量,而且會顯示原則所採取動作的累加結果。 例如,如果原則在一個指派中已停用,但在另一個指派中它被設定為 AuditIfNotExist,則累加的效果就會套用 AuditIfNotExist。 更處於作用狀態的效果一律優先。
  • 原則的效果可以是:Append、Audit、AuditIfNotExists、Deny、DeployIfNotExists、Disabled。