簡介

  • 3 分鐘

適用於雲端的 Microsoft Defender 會持續比較資源的設定與產業標準、法規及基準的需求。

若要瞭解安全性狀態管理如何評估您的環境,請務必瞭解安全策略和計劃。

什麼是安全策略和計劃

Microsoft適用於雲端的 Defender 會將安全性計劃套用至您的訂用帳戶。 這些方案包含了一或多個安全性原則。 每個原則都會產生安全性建議,以改善安全性狀態。

什麼是安全策略?

在 Azure 原則中建立的 Azure 原則定義是您想要控制的特定安全性條件規則。 內建定義包括控制能被部署的資源類型,或強制要求在所有資源上使用標籤。 您也可以建立自己的自定義原則定義。

若要實作這些原則定義(無論是內建還是自定義),您需要指派它們。 您可以透過 Azure 入口網站、PowerShell 或 Azure CLI 來指派任何這些原則。 您可以從 Azure 原則停用或啟用原則。

Azure Policy 中有不同類型的政策。 適用於雲端的 Defender 主要使用「稽核」原則來檢查特定條件和設定,然後回報合規性。 也有「強制執行」原則可用來套用安全設定。

什麼是安全性計劃?

Azure 原則方案是由多個 Azure 原則定義或規則組成的集合,而這些規則會為了實現特定目標或用途而分組。 Azure 計畫可藉由將一組策略分組在一起,作為一個單一項目來簡化策略的管理。

安全性計劃會定義工作負載所需的設定,並協助確保您符合公司或監管機構的安全性需求。

如同安全策略,適用於雲端的Defender方案也會在 Azure 原則中建立。 您可以使用 Azure 原則來管理您的原則、建置計劃,以及將計劃指派給多個訂用帳戶或整個管理群組。

在 Microsoft Defender for Cloud 中,自動指派給每個訂用帳戶的預設原則是 Azure 安全性基準。 此效能評定是 Microsoft 針對以通用合規性架構為基礎的安全性和合規性最佳做法所撰寫的一組 Azure 特定指導方針。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

Defender for Cloud 提供下列選項來使用安全性主動計畫與原則:

  • 檢視和編輯內建的預設方案 - 當您啟用適用於雲端的 Defender 時,會自動將名為 「Azure 安全性基準檢驗」的方案指派給所有適用於雲端的 Defender 註冊訂用帳戶。 若要自定義此方案,您可以編輯原則的參數來啟用或停用其內的個別原則。 請參閱內建安全策略清單,以了解現成可用的選項。

  • 新增您自己的自訂方案 - 如果您想要自訂套用至訂閱的安全性方案,您可以在適用於雲端的 Defender 內執行此動作。 如果您的機器未遵循您所建立的原則,您會收到建議。 如需建置和指派自定義原則的指示,請參閱使用自定義安全性計劃與原則。

  • 將法規符合性標準作為倡議新增 - Defender for Cloud 的法規符合性儀錶板會根據特定標準或法規顯示環境中所有評估的狀態(例如 Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020)。

什麼是安全性建議?

適用於雲端的 Defender 會使用原則定期分析資源的合規性狀態,以識別潛在的安全性設定錯誤和弱點。 然後,這會提供您如何補救這些問題的建議。 建議是針對相關原則評估您的資源,並識別不符合您定義需求的資源的結果。

適用於雲端的Defender會根據您的所選計劃提出其安全性建議。 當從您的計劃中選出的原則與您的資源進行比較,並發現有一個或多個不符合規範時,它會作為建議在 Microsoft Defender for Cloud 中呈現。

建議是為了保護和強化資源,您所應該採取的行動。 每個建議都會提供下列資訊:

  • 問題的簡短描述
  • 執行以實作建議的補救步驟
  • 受影響的資源

Azure 安全性基準是包含需求的專案。

例如,Azure 儲存體帳戶必須限制網路存取,以減少其攻擊面。

方案包含多個原則,每個原則都有特定資源類型的需求。 這些原則會強制執行方案中的需求。

若要繼續此範例,記憶體需求會使用「記憶體帳戶應使用虛擬網路規則來限制網路存取」原則強制執行。

適用於雲端的 Microsoft Defender 會持續評估已連線的訂用帳戶。 如果找到不符合原則的資源,則會顯示修正該情況的建議,並強化不符合您安全性需求的資源安全性。

因此,例如,如果任何受保護訂用帳戶上的 Azure 記憶體帳戶未受到虛擬網路規則的保護,您會看到強化這些資源的建議。

因此,(1)一項倡議包括(2)一些政策,這些政策會產生(3)針對環境特定的建議。

您是安全性作業分析師,任職於使用 Microsoft Defender for Cloud 的公司。 您負責混合式雲端資源的法規合規性。

您需要改善在 Microsoft 雲端安全性防護者中顯示的通過 Azure 安全基準的控制項數量。

現在您已瞭解 Microsoft適用於雲端的 Defender 安全策略、計劃和建議,並瞭解其運作情形。

備註

選取縮圖影像以啟動實驗室模擬。 當您完成時,請務必返回此頁面,以便繼續學習。

模擬頁面的螢幕快照。