Aanbevelingsherstel stimuleren met behulp van governanceregels

Beveiligingsteams zijn verantwoordelijk voor het verbeteren van de beveiligingspositie van hun organisatie, maar teamleden volgen mogelijk niet altijd de beveiligingsaanbevelingen op om deze te implementeren. Beveiligingsteams kunnen governanceregels instellen om verantwoording te stimuleren en een SLA (Service Level Agreement) te maken rond het herstelproces.

Bekijk deze aflevering van Defender for Cloud in de veldvideoserie voor een diepgaande discussie over waarom governanceregels nuttig zijn.

Governance-regels

U kunt regels definiëren die automatisch een eigenaar en een einddatum toewijzen om aanbevelingen voor specifieke resources aan te pakken. Deze functie biedt resource-eigenaren een duidelijke set taken en deadlines om aanbevelingen te herstellen.

Meer informatie over de werking van governanceregels in de volgende secties.

Tracking

Volg de voortgang van hersteltaken door te sorteren op abonnement, aanbeveling of eigenaar. U kunt eenvoudig taken vinden die meer aandacht nodig hebben, zodat u deze kunt opvolgen.

Assignments

Met governanceregels kunnen middelen worden geïdentificeerd die herstel vereisen volgens specifieke aanbevelingen of ernstniveaus. De regel wijst een eigenaar en einddatum toe om ervoor te zorgen dat de aanbevelingen worden verwerkt. Veel governanceregels kunnen van toepassing zijn op dezelfde aanbevelingen, zodat de regel met de hoogste prioriteit de eigenaar en einddatum toewijst.

Vervaldatums

De einddatum voor herstel van een aanbeveling is gebaseerd op een tijdsbestek van 7, 14, 30 of 90 dagen nadat de regel de aanbeveling activeert. Als de regel bijvoorbeeld de resource op 1 maart identificeert en het hersteltijdskader 14 dagen is, is 15 maart de einddatum. U kunt een respijtperiode toepassen zodat resources die herstel nodig hebben geen invloed hebben op uw Microsoft-beveiligingsscore.

Eigenaren

U kunt ook resource-eigenaren instellen, zodat u de juiste persoon kunt vinden om een aanbeveling af te handelen.

In organisaties die resourcetags gebruiken om resources te koppelen aan een eigenaar, kunt u de tagsleutel opgeven. De governanceregel leest de naam van de resource-eigenaar uit de tag.

Wanneer een eigenaar niet wordt gevonden in een resource, gekoppelde-resourcegroep of gekoppeld-abonnement gebaseerd op een tag, wordt de eigenaar weergegeven als 'onbepaald'.

Notifications

Standaard worden e-mailmeldingen wekelijks verzonden naar resource-eigenaren. E-mailberichten bevatten een lijst met taken op schema en vertraagde taken.

Standaard ontvangt de manager van de resource-eigenaar een e-mail met aanbevelingen die te laat zijn, als het e-mailadres van de manager wordt gevonden in de Microsoft Entra ID van de organisatie.

Conflicten

Conflicterende regels worden toegepast in de volgorde van bereik. Regels voor een beheerbereik voor Azure-beheergroepen, AWS-accounts (Amazon Web Services) en GCP-organisaties (Google Cloud Platform) worden bijvoorbeeld van kracht voordat regels van kracht worden op een bereik zoals Azure-abonnementen, AWS-accounts of GCP-projecten.

Vereiste voorwaarden

• Het Defender Cloud Security Posture Management-abonnement (Defender CSPM) moet zijn ingeschakeld.
• U hebt machtigingen voor inzender, beveiligingsbeheerder of eigenaar nodig voor de Azure-abonnementen.
• Voor AWS-accounts en GCP-projecten hebt u machtigingen voor inzender, beveiligingsbeheerder of eigenaar nodig voor de Defender for Cloud AWS- of GCP-connectors.

Een governanceregel definiëren

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud>Management>Environment-instellingen>Governanceregels.

3. Selecteer Governanceregel maken.

   

4. Geef een regelnaam en bereik op waarin u de regel wilt toepassen. Regels voor beheerbereik (Azure-beheergroepen, AWS-hoofdaccounts en GCP-organisaties) worden toegepast vóór de regels voor één bereik.

   Opmerking

   Uitsluitingen kunnen niet worden gemaakt met behulp van de portalwizard. Gebruik de API om uitsluitingen te definiëren.

5. Stel een prioriteitsniveau in. Regels worden uitgevoerd in prioriteitsvolgorde van de hoogste (1) naar de laagste (1000).

6. Geef een beschrijving op waarmee u de regel kunt identificeren.

7. Kies Volgende.

8. Geef op hoe de regel van invloed is op aanbevelingen.

   • Op ernst: De regel wijst de eigenaar en einddatum toe aan een aanbeveling in het abonnement die geen eigenaar of einddatum heeft en die overeenkomt met de opgegeven ernstniveaus.
   • Op risiconiveau: De regel wijst een eigenaar en einddatum toe aan aanbevelingen die overeenkomen met de opgegeven risiconiveaus.
   • Op aanbevelingscategorie: Met de regel wordt een eigenaar en einddatum toegewezen aan aanbevelingen die overeenkomen met de opgegeven aanbevelingscategorie.
   • Door specifieke aanbevelingen: selecteer de specifieke ingebouwde of aangepaste aanbevelingen waarop de regel van toepassing is.

   Als u de regel wilt toepassen op al gegenereerde aanbevelingen, kunt u de regel opnieuw uitvoeren met behulp van de gebruikersinterface of API.

   

9. Als u wilt opgeven wie verantwoordelijk is voor het oplossen van aanbevelingen die onder de regel vallen, stelt u de eigenaar in.

   • Op resource-tag: Voer bij uw resources de resource-tag in van de resource-eigenaar.
   • Per e-mailadres: Voer het e-mailadres van de eigenaar in.

10. Geef een hersteltijdskader op dat valt van wanneer herstelaanbevelingen worden geïdentificeerd wanneer het herstel moet worden voltooid. Als aanbevelingen zijn uitgevaardigd volgens de Microsoft-cloudbeveiligingsbenchmark en u niet wilt dat de resources van invloed zijn op uw beveiligingsscore totdat deze verlopen zijn, selecteert u Respijtperiode toepassen.

11. (Optioneel) Standaard worden eigenaren en hun managers wekelijks op de hoogte gesteld van openstaande en te laat uitgevoerde taken. Als u niet wilt dat ze deze wekelijkse e-mailberichten ontvangen, verwijdert u de meldingsopties.

12. Klik op Creëren.

Als er bestaande aanbevelingen zijn die overeenkomen met de definitie van de governanceregel, kunt u het volgende doen:

• Wijs een eigenaar en einddatum toe aan aanbevelingen die nog geen eigenaar of einddatum hebben.
• Overschrijf de eigenaar en einddatum van bestaande aanbevelingen.

Wanneer u een regel verwijdert of uitschakelt, blijven alle bestaande toewijzingen en meldingen behouden.

De effecten van regels bekijken

U kunt het effect bekijken dat governanceregels hebben in uw omgeving.

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud>Management>Environment-instellingen>Governanceregels.

3. Controleer de beheerregels. De standaardlijst bevat alle governanceregels die van toepassing zijn in uw omgeving.

4. U kunt zoeken naar regels of regels filteren. Er zijn verschillende manieren om regels te filteren.

   • Filter op Omgeving om regels voor Azure, AWS en GCP te identificeren.
   • Filter op regelnaam, eigenaar of de tijd tussen het moment waarop de aanbeveling is uitgegeven en de einddatum.
   • Filter op respijtperiode om aanbevelingen voor Microsoft-cloudbeveiligingsbenchmarks te vinden die geen invloed hebben op uw beveiligingsscore.
   • Identificeer op basis van status.

   

Het governancerapport bekijken

U kunt een beheerrapport gebruiken om aanbevelingen te bekijken per regel en eigenaar, en deze aanbevelingen zijn ingedeeld als op tijd voltooid, achterstallig, of niet toegewezen. U kunt deze functie gebruiken voor elk abonnement met governanceregels.

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud>Management>Omgevingsinstellingen>Governanceregels>Governancerapport.

   

3. Selecteer een abonnement.

   

In het governancerapport kunt u inzoomen op aanbevelingen op de volgende categorieën:

• Scope
• Weergavenaam
• Priority
• Tijdsbestek voor herstel
• Eigenaartype
• Details van eigenaar
• Respijtperiode
• Wolk

Verwante inhoud

• Aanbevelingen voor beveiliging implementeren