Wprowadzenie

Usługa Microsoft Defender for Cloud stale porównuje konfigurację zasobów z wymaganiami dotyczącymi standardów branżowych, przepisów i testów porównawczych.

Aby zrozumieć, jak zarządzanie stanem zabezpieczeń ocenia środowisko, ważne jest, aby zrozumieć zasady zabezpieczeń i inicjatywy.

Co to są zasady zabezpieczeń i inicjatywy

Usługa Microsoft Defender for Cloud stosuje inicjatywy zabezpieczeń do Twoich subskrypcji. Te inicjatywy zawierają co najmniej jedną zasady zabezpieczeń. Każda z tych zasad powoduje zalecenie dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń.

Co to są zasady zabezpieczeń?

Definicja usługi Azure Policy utworzona w usłudze Azure Policy to reguła dotycząca określonych warunków zabezpieczeń, które mają być kontrolowane. Wbudowane definicje obejmują takie elementy jak kontrolowanie typu zasobów, które można wdrożyć, lub wymuszanie użycia tagów na wszystkich zasobach. Możesz również utworzyć własne niestandardowe definicje zasad.

Aby zaimplementować te definicje zasad (wbudowane lub niestandardowe), należy je przypisać. Dowolną z tych zasad można przypisać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Zasady można wyłączyć lub włączyć w usłudze Azure Policy.

W usłudze Azure Policy istnieją różne typy zasad. Usługa Defender for Cloud używa głównie zasad inspekcji, które sprawdzają określone warunki i konfiguracje, a następnie zgłaszają zgodność. Istnieją również zasady "Wymuszaj", które mogą służyć do stosowania bezpiecznych ustawień.

Co to jest inicjatywa zabezpieczeń?

Inicjatywa Azure Policy to zbiór definicji lub reguł Azure Policy, które są grupowane razem, aby osiągnąć określony cel lub zamierzenie. Inicjatywy platformy Azure upraszczają zarządzanie zasadami, grupując zestaw zasad logicznie jako pojedynczy element.

Inicjatywa zabezpieczeń definiuje żądaną konfigurację obciążeń i pomaga zapewnić zgodność z wymaganiami dotyczącymi zabezpieczeń firmy lub organów regulacyjnych.

Podobnie jak zasady zabezpieczeń, inicjatywy usługi Defender for Cloud są również tworzone w usłudze Azure Policy. Za pomocą usługi Azure Policy można zarządzać zasadami, tworzyć inicjatywy i przypisywać inicjatywy do wielu subskrypcji lub dla całych grup zarządzania.

Domyślna inicjatywa automatycznie przypisana do każdej subskrypcji w usłudze Microsoft Defender for Cloud to test porównawczy zabezpieczeń platformy Azure. Ten wzorzec to opracowany przez firmę Microsoft, specyficzny dla platformy Azure zestaw wytycznych dotyczących najlepszych praktyk w zakresie bezpieczeństwa i zgodności, opartych na wspólnych ramach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.

Usługa Defender for Cloud oferuje następujące opcje pracy z inicjatywami i zasadami zabezpieczeń:

• Wyświetlanie i edytowanie wbudowanej inicjatywy domyślnej — po włączeniu usługi Defender for Cloud inicjatywa o nazwie "Test porównawczy zabezpieczeń platformy Azure" jest automatycznie przypisywana do wszystkich zarejestrowanych subskrypcji usługi Defender for Cloud. Aby dostosować tę inicjatywę, możesz włączyć lub wyłączyć poszczególne zasady, edytując parametry zasad. Zapoznaj się z listą wbudowanych zasad zabezpieczeń, aby poznać domyślnie dostępne opcje.

• Dodaj własne inicjatywy niestandardowe — jeśli chcesz dostosować inicjatywy zabezpieczeń zastosowane do subskrypcji, możesz to zrobić w Defender dla Chmury. Jeśli maszyny nie będą zgodne z utworzonymi zasadami, otrzymasz zalecenia. Aby uzyskać instrukcje dotyczące tworzenia i przypisywania zasad niestandardowych, zobacz Używanie niestandardowych inicjatyw i zasad zabezpieczeń.

• Dodawanie standardów zgodności z przepisami jako inicjatyw — pulpit nawigacyjny zgodności z przepisami usługi Defender for Cloud pokazuje stan wszystkich ocen w danym środowisku w kontekście określonego standardu lub rozporządzenia (np. Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020).

Co to jest zalecenie dotyczące zabezpieczeń?

Usługa Defender for Cloud używa zasad do okresowego analizowania stanu zgodności zasobów w celu zidentyfikowania potencjalnych błędów konfiguracji zabezpieczeń i słabych stron. Następnie zawiera zalecenia dotyczące sposobu korygowania tych problemów. Zalecenia są wynikiem oceny zasobów względem odpowiednich zasad i identyfikowania zasobów, które nie spełniają zdefiniowanych wymagań.

Usługa Defender for Cloud udostępnia zalecenia dotyczące zabezpieczeń na podstawie wybranych inicjatyw. Gdy zasady z twojej inicjatywy są porównywane z zasobami i znajdują co najmniej jedną, która nie jest zgodna, jest ona wyświetlana jako zalecenie w usłudze Defender for Cloud.

Zalecenia to działania, które należy podjąć, aby zabezpieczyć i utwardzić swoje zasoby. Każde zalecenie zawiera następujące informacje:

• Krótki opis problemu
• Kroki korygowania, które należy wykonać w celu wdrożenia zalecenia
• Zasoby, których dotyczy problem

Test porównawczy zabezpieczeń platformy Azure to inicjatywa zawierająca wymagania.

Na przykład konta usługi Azure Storage muszą ograniczyć dostęp sieciowy w celu zmniejszenia obszaru ataków.

Inicjatywa obejmuje wiele zasad, z których każda wymaga określonego typu zasobu. Te zasady wymuszają wymagania w ramach inicjatywy.

Aby kontynuować ten przykład, wymaganie dotyczące magazynu jest wymuszane przy użyciu zasad "Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej".

Usługa Microsoft Defender for Cloud stale ocenia połączone subskrypcje. Jeśli znajdzie zasób, który nie spełnia wymagań dotyczących zasad, zostanie wyświetlone zalecenie, aby rozwiązać ten problem i wzmocnić zabezpieczenia zasobów, które nie spełniają wymagań dotyczących zabezpieczeń.

Na przykład jeśli konto usługi Azure Storage w żadnej z chronionych subskrypcji nie jest chronione za pomocą reguł sieci wirtualnej, zostanie wyświetlone zalecenie dotyczące wzmacniania zabezpieczeń tych zasobów.

Tak więc (1) inicjatywa obejmuje (2) zasady, które generują (3) zalecenia specyficzne dla środowiska.

Jesteś analitykiem operacji zabezpieczeń pracującym w firmie korzystającej z usługi Microsoft Defender for Cloud. Odpowiadasz za zgodność z przepisami zasobów chmury hybrydowej.

Należy poprawić liczbę kontrolek, które przechodzą test porównawczy zabezpieczeń platformy Azure, jak pokazano w usłudze Microsoft Defender for Cloud.

Teraz kiedy znasz zasady zabezpieczeń, inicjatywy i zalecenia usługi Microsoft Defender dla chmury, zobacz je w działaniu.