Microsoft Defender for Cloud 的安全政策定義了如何在 Azure、Amazon Web Services(AWS)及 Google Cloud Platform (GCP)上評估您的雲端資源安全性。 政策規範了 Defender for Cloud 用來評估資源配置及識別潛在安全風險的標準、控制與條件。
每個政策都包含 安全標準,定義應用於你環境的控制與評估邏輯。 Defender for Cloud 持續根據這些標準評估您的資源。 當資源未達到定義的控制時,Defender for Cloud 會產生安全建議,描述問題及修復所需的行動。
這使 Defender for Cloud 能持續評估資源並提升組織的安全態勢。
安全性標準
Defender for Cloud 的安全政策可包含多種標準:
安全基準—— 內建基線,如 Microsoft 雲端安全基準(MCSB) 及定義基礎最佳實務的雲端供應商基準。
法規合規標準 ——啟用 Defender for Cloud 計畫時,產業與合規計畫的框架可參考。
自訂標準 – 組織定義的標準,包含內建或 自訂的建議 ,以使 Defender for Cloud 評估與內部安全政策保持一致。
了解更多關於 雲端防禦者的安全標準。
安全性建議
資安建議是根據安全標準評估產生的可行洞察。 每項建議包括:
- 問題的簡短描述
- 補救步驟
- 受影響的資源
- 嚴重程度與風險因子
- 攻擊路徑上下文(如有)
Defender for Cloud 風險模型根據暴露、資料敏感度、橫向移動潛力及可利用性優先排序建議。
重要
風險優先順序不會影響安全分數。
自訂建議
你可以使用 Kusto 查詢語言(KQL)建立自訂推薦,定義自己的評量邏輯。 當啟用 Defender CSPM 計畫 時,此功能適用於所有雲端。
自訂建議是在自訂標準中建立的,必要時也可以連結到其他標準。
每項建議都包含查詢邏輯、修復步驟、嚴重程度及適用資源類型。
建立後,自訂建議會與內建建議一同出現在法規合規儀表板中,並有助於整體安全態勢評估。
了解更多關於 建立客製化推薦的方法。
範例
MCSB 包含多個控制措施,定義預期的安全配置。 其中一項控制是「儲存帳號應使用虛擬網路規則限制網路存取」。
適用於雲端的 Defender 會持續評估資源。 如果其發現任何不符合此控制的資源,則會將其標示為不符合規範,並觸發建議。 在此情況下,指引是強化 Azure 儲存體 未受虛擬網路規則保護的帳戶。