Zásady zabezpečení v defenderu pro cloud

Zásady zabezpečení v programu Microsoft Defender for Cloud se skládají ze standardů zabezpečení a doporučení, která pomáhají zlepšit stav zabezpečení cloudu.

Standardy zabezpečení definují pravidla, podmínky dodržování předpisů pro tato pravidla a akce (účinky), které se mají provést, pokud nejsou splněny podmínky. Defender for Cloud vyhodnocuje prostředky a úlohy podle standardů zabezpečení povolených v předplatných Azure, účtech Amazon Web Services (AWS) a projektech GCP (Google Cloud Platform). Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky, které vám pomůžou napravit problémy se zabezpečením.

Standardy zabezpečení

Standardy zabezpečení v Defenderu pro cloud pocházejí z těchto zdrojů:

  • Srovnávací test zabezpečení cloudu Microsoftu (MCSB): Standard MCSB se ve výchozím nastavení použije při onboardingu Defenderu pro cloud do skupiny pro správu nebo předplatného. Vaše skóre zabezpečení vychází z posouzení některých doporučení MCSB.

  • Standardy dodržování právních předpisů: Když povolíte jeden nebo více plánů Defenderu pro cloud, můžete přidat standardy z široké škály předdefinovaných programů dodržování právních předpisů.

  • Vlastní standardy: V Programu Defender for Cloud můžete vytvořit vlastní standardy zabezpečení a podle potřeby do nich přidat předdefinovaná a vlastní doporučení.

Standardy zabezpečení v defenderu pro cloud jsou založené na iniciativách Azure Policynebo na nativní platformě Defenderu pro cloud. V současné době jsou standardy Azure založené na službě Azure Policy. Standardy AWS a GCP jsou založené na defenderu pro cloud.

Standardy zabezpečení v defenderu pro cloud zjednodušují složitost služby Azure Policy. Ve většině případů můžete přímo pracovat se standardy zabezpečení a doporučeními na portálu Defender for Cloud, aniž byste museli přímo konfigurovat Azure Policy.

Práce se standardy zabezpečení

Tady je postup, který můžete dělat se standardy zabezpečení v defenderu pro cloud:

  • Upravte předdefinovaný MCSB pro předplatné: Když povolíte Defender for Cloud, mcSB se automaticky přiřadí všem předplatným registrovaným v programu Defender for Cloud.

  • Přidejte standardy dodržování právních předpisů: Pokud máte povolený jeden nebo více placených plánů, můžete přiřadit předdefinované standardy dodržování předpisů, proti kterým budete vyhodnocovat prostředky Azure, AWS a GCP. Přečtěte si další informace o přiřazování regulačních standardů.

  • Přidejte vlastní standardy: Pokud máte povolený aspoň jeden placený plán Defenderu, můžete na portálu Defender for Cloud definovat nové standardy Azure nebo standardy AWS/GCP. Pak můžete k těmto standardům přidat doporučení.

Práce s vlastními standardy

Vlastní standardy se zobrazují společně s integrovanými standardy na řídicím panelu dodržování právních předpisů .

Doporučení odvozená z posouzení proti vlastním standardům se zobrazují společně s doporučeními z předdefinovaných standardů. Vlastní standardy můžou obsahovat integrovaná a vlastní doporučení.

Doporučení zabezpečení

Defender for Cloud pravidelně a nepřetržitě analyzuje a posuzuje stav zabezpečení chráněných prostředků proti definovaným standardům zabezpečení, aby identifikoval potenciální chybné konfigurace zabezpečení a slabá místa. Defender for Cloud pak poskytuje doporučení na základě zjištění posouzení.

Každé doporučení obsahuje následující informace:

  • Stručný popis problému
  • Nápravné kroky pro implementaci doporučení
  • Ovlivněné prostředky
  • Úroveň rizika
  • Rizikové faktory
  • Cesty útoku

Každé doporučení v programu Defender for Cloud má přidruženou úroveň rizika, která představuje způsob zneužití a dopad na problém se zabezpečením ve vašem prostředí. Modul pro posouzení rizik bere v úvahu faktory, jako je vystavení internetu, citlivost dat, možnosti laterálního pohybu a náprava cest útoku. Doporučení můžete určit prioritu na základě jejich úrovní rizik.

Poznámka:

V současné době je stanovení priority rizik ve verzi Public Preview a nemá vliv na skóre zabezpečení.

Příklad

Standard MCSB je iniciativa Azure Policy, která zahrnuje více kontrolních mechanismů dodržování předpisů. Jedním z těchto ovládacích prvků je "Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě".

Vzhledem k tomu, že Defender for Cloud průběžně vyhodnocuje a vyhledá prostředky, které tento ovládací prvek nevyhovují, označí prostředky jako nedodržující předpisy a aktivuje doporučení. V tomto případě jsou pokyny k posílení zabezpečení účtů Azure Storage, které nejsou chráněné pravidly virtuální sítě.

Vlastní doporučení

Všichni zákazníci s předplatnými Azure můžou vytvářet vlastní doporučení na základě služby Azure Policy. Pomocí Služby Azure Policy vytvoříte definici zásad, přiřadíte ji iniciativě zásad a sloučíte ji do programu Defender for Cloud.

Vlastní doporučení založená na dotazovací jazyk Kusto (KQL) jsou dostupná pro všechny cloudy, ale vyžadují povolení plánu CSPM v programu Defender. Pomocí těchto doporučení zadáte jedinečný název, popis, kroky pro nápravu, závažnost a standardy, kterým se má doporučení přiřadit. KQL přidáte logiku doporučení. Editor dotazů poskytuje integrovanou šablonu dotazu, kterou můžete podle potřeby upravit, nebo můžete psát dotaz KQL úplně od začátku.

Další informace najdete v tématu Vytváření vlastních standardů zabezpečení a doporučení v programu Microsoft Defender for Cloud.

Další kroky