Einleitung

Microsoft Defender für Cloud vergleicht die Konfiguration Ihrer Ressourcen kontinuierlich mit den Anforderungen von Branchenstandards, Vorschriften und Benchmarks.

Um zu verstehen, wie die Sicherheitslageverwaltung Ihre Umgebung auswertet, ist es erforderlich, Sicherheitsrichtlinien und Initiativen zu verstehen.

Was sind Sicherheitsrichtlinien und Initiativen?

Microsoft Defender für Cloud wendet Sicherheitsinitiativen auf Ihre Abonnements an. Diese Initiativen enthalten mindestens eine Sicherheitsrichtlinie. Jede dieser Richtlinien führt zu einer Sicherheitsempfehlung zur Verbesserung Ihres Sicherheitsstatus.

Was ist eine Sicherheitsrichtlinie?

Eine Azure-Richtliniendefinition, die in Azure-Richtlinie erstellt wurde, ist eine Regel zu bestimmten Sicherheitsbedingungen, die Sie steuern möchten. Integrierte Definitionen umfassen Elemente wie das Steuern, welche Art von Ressourcen bereitgestellt werden können, oder das Erzwingen der Verwendung von Tags für alle Ressourcen. Sie können auch eigene benutzerdefinierte Richtliniendefinitionen erstellen.

Um diese Richtliniendefinitionen (ob integriert oder benutzerdefiniert) zu implementieren, müssen Sie sie zuweisen. Sie können diese Richtlinien über das Azure-Portal, PowerShell oder die Azure CLI zuweisen. Richtlinien können in Azure Policy deaktiviert oder aktiviert werden.

Es gibt verschiedene Arten von Richtlinien in der Azure-Richtlinie. Defender für Cloud verwendet hauptsächlich "Überwachungsrichtlinien", die bestimmte Bedingungen und Konfigurationen überprüfen und dann über die Compliance berichten. Es gibt auch "Erzwingen"-Richtlinien, die verwendet werden können, um sichere Einstellungen anzuwenden.

Was ist eine Sicherheitsinitiative?

Eine Azure-Richtlinieninitiative ist eine Sammlung von Azure-Richtliniendefinitionen oder Regeln, die zu einem bestimmten Ziel oder Zweck gruppiert werden. Azure-Initiativen vereinfachen die Verwaltung Ihrer Richtlinien, indem sie eine Reihe von Richtlinien logisch als einzelnes Element gruppieren.

Eine Sicherheitsinitiative definiert die gewünschte Konfiguration Ihrer Workloads und stellt sicher, dass Sie die Sicherheitsanforderungen Ihres Unternehmens oder Ihrer Regulierungsbehörden einhalten.

Wie Sicherheitsrichtlinien werden auch Defender for Cloud-Initiativen in Azure-Richtlinie erstellt. Sie können Azure-Richtlinie verwenden, um Ihre Richtlinien zu verwalten, Initiativen zu erstellen und Initiativen mehreren Abonnements oder für ganze Verwaltungsgruppen zuzuweisen.

Die Standardinitiative, die jedem Abonnement in Microsoft Defender für Cloud automatisch zugewiesen wird, ist Azure Security Benchmark. Dieser Benchmark ist der von Microsoft verfasste, azurespezifische Satz von Richtlinien für bewährte Methoden für Sicherheit und Compliance basierend auf allgemeinen Compliance-Frameworks. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.

Defender für Cloud bietet die folgenden Optionen für die Arbeit mit Sicherheitsinitiativen und -richtlinien:

• Anzeigen und Bearbeiten der integrierten Standardinitiative – Wenn Sie Defender für Cloud aktivieren, wird die Initiative "Azure Security Benchmark" automatisch allen registrierten Abonnements von Defender für Cloud zugewiesen. Um diese Initiative anzupassen, können Sie einzelne Richtlinien darin aktivieren oder deaktivieren, indem Sie die Parameter einer Richtlinie bearbeiten. Sehen Sie sich die Liste der integrierten Sicherheitsrichtlinien an, um die verfügbaren Optionen sofort zu verstehen.

• Hinzufügen eigener benutzerdefinierter Initiativen: Wenn Sie die auf Ihr Abonnement angewendeten Sicherheitsinitiativen anpassen möchten, können Sie dies in Defender für Cloud durchführen. Sie erhalten Empfehlungen, wenn Ihre Computer nicht den von Ihnen erstellten Richtlinien folgen. Anweisungen zum Erstellen und Zuweisen von benutzerdefinierten Richtlinien finden Sie unter Verwenden von benutzerdefinierten Sicherheitsinitiativen und -richtlinien.

• Hinzufügen gesetzlicher Compliancestandards als Initiativen – Das Dashboard zur Einhaltung gesetzlicher Vorschriften von Defender für Cloud zeigt den Status aller Bewertungen in Ihrer Umgebung im Kontext eines bestimmten Standards oder einer bestimmten Verordnung an (z. B. Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020).

Was ist eine Sicherheitsempfehlung?

Defender für Cloud verwendet die Richtlinien, um den Compliancestatus Ihrer Ressourcen regelmäßig zu analysieren, um potenzielle Sicherheitsfehler und Schwachstellen zu identifizieren. Anschließend erhalten Sie Empfehlungen zur Behebung dieser Probleme. Empfehlungen sind das Ergebnis der Bewertung Ihrer Ressourcen anhand der relevanten Richtlinien und der Identifizierung von Ressourcen, die Ihre definierten Anforderungen nicht erfüllen.

Defender for Cloud macht seine Sicherheitsempfehlungen basierend auf Ihren ausgewählten Initiativen. Wenn eine Richtlinie aus Ihrer Initiative mit Ihren Ressourcen verglichen wird und eine oder mehrere gefunden wird, die nicht kompatibel sind, wird sie als Empfehlung in Defender für Cloud dargestellt.

Empfehlungen sind Aktionen, die Sie ergreifen können, um Ihre Ressourcen zu sichern und zu härten. Jede Empfehlung bietet Ihnen die folgenden Informationen:

• Eine kurze Beschreibung des Problems
• Die zu erfüllenden Korrekturschritte, um die Empfehlung umzusetzen
• Die betroffenen Ressourcen

Azure Security Benchmark ist eine Initiative, die Anforderungen enthält.

Beispielsweise müssen Azure Storage-Konten den Netzwerkzugriff einschränken, um ihre Angriffsfläche zu verringern.

Die Initiative umfasst mehrere Richtlinien, die jeweils eine Anforderung eines bestimmten Ressourcentyps aufweisen. Diese Richtlinien setzen die Anforderungen der Initiative um.

Um das Beispiel fortzusetzen, wird die Speicheranforderung mit der Richtlinie "Speicherkonten sollten den Netzwerkzugriff mit virtuellen Netzwerkregeln einschränken" erzwungen.

Microsoft Defender für Cloud bewertet kontinuierlich Ihre verbundenen Abonnements. Wenn eine Ressource gefunden wird, die keine Richtlinie erfüllt, wird eine Empfehlung angezeigt, diese Situation zu beheben und die Sicherheit von Ressourcen zu erschweren, die Ihre Sicherheitsanforderungen nicht erfüllen.

Wenn beispielsweise ein Azure Storage-Konto für eines Ihrer geschützten Abonnements nicht durch Regeln für virtuelle Netzwerke geschützt ist, wird die Empfehlung angezeigt, diese Ressourcen zu härten.

(1) Eine Initiative umfasst also (2) Richtlinien, die (3) umweltspezifische Empfehlungen generieren.

Sie sind Ein Security Operations Analyst, der an einem Unternehmen arbeitet, das Microsoft Defender für Cloud verwendet. Sie sind für die Einhaltung gesetzlicher Vorschriften Ihrer Hybrid-Cloud-Ressourcen verantwortlich.

Sie müssen die Anzahl der Kontrollen verbessern, die den Azure Security Benchmark bestehen, wie es in Microsoft Defender für Cloud angezeigt wird.

Nachdem Sie nun ein Verständnis für Microsoft Defender für Cloud-Sicherheitsrichtlinien, Initiativen und Empfehlungen haben, sehen Sie es in Aktion.