Политики безопасности в Defender для облака

Политики безопасности в Microsoft Defender для облака состоят из стандартов безопасности и рекомендаций, которые помогают улучшить состояние облачной безопасности.

Стандарты безопасности определяют правила, условия соответствия этим правилам и действия (эффекты), которые необходимо предпринять, если условия не выполнены. Defender для облака оценивает ресурсы и рабочие нагрузки по стандартам безопасности, включенным в подписках Azure, учетных записях Amazon Web Services (AWS) и проектах Google Cloud Platform (GCP). На основе этих оценок рекомендации по безопасности предоставляют практические шаги, которые помогут устранить проблемы безопасности.

Стандарты безопасности

Стандарты безопасности в Defender для облака поступают из следующих источников:

  • Microsoft cloud security benchmark (MCSB): стандарт MCSB применяется по умолчанию при подключении облачных учетных записей к Defender. Оценка безопасности основана на оценке некоторых рекомендаций MCSB.

  • Стандарты соответствия нормативным требованиям. При включении одного или нескольких планов Defender для облака можно добавить стандарты из широкого спектра предопределенных программ соответствия нормативным требованиям.

  • Настраиваемые стандарты: вы можете создавать настраиваемые стандарты безопасности в Defender для облака, а затем добавлять встроенные и пользовательские рекомендации в эти настраиваемые стандарты по мере необходимости.

Стандарты безопасности в Defender для облака основаны на инициативах Политика Azure или на собственной платформе Defender для облака. В настоящее время стандарты Azure основаны на Политика Azure. Стандарты AWS и GCP основаны на Defender для облака.

Работа со стандартами безопасности

Вот что можно сделать с стандартами безопасности в Defender для облака:

Пользовательские стандарты

Пользовательские стандарты отображаются вместе со встроенными стандартами на панели мониторинга соответствия нормативным требованиям.

Рекомендации, производные от оценок по пользовательским стандартам, отображаются вместе с рекомендациями из встроенных стандартов. Пользовательские стандарты могут содержать встроенные и пользовательские рекомендации.

Пользовательские рекомендации

Использование пользовательских рекомендаций на основе язык запросов Kusto (KQL) — это рекомендуемый подход и поддерживается для всех облаков, но требует включения плана CSPM Defender. С помощью этих рекомендаций вы указываете уникальное имя, описание, действия по исправлению, серьезность и соответствующие стандарты. Вы добавляете логику рекомендаций с помощью KQL. Редактор запросов предоставляет встроенный шаблон запроса, который можно настроить или написать запрос KQL.

Кроме того, все клиенты Azure могут подключить свои Политика Azure пользовательские инициативы в качестве пользовательских рекомендаций (устаревший подход).

Дополнительные сведения см. в разделе "Создание пользовательских стандартов безопасности и рекомендаций" в Microsoft Defender для облака.

Рекомендации по обеспечению безопасности

Defender для облака периодически и непрерывно анализирует и оценивает состояние безопасности защищенных ресурсов в соответствии с определенными стандартами безопасности, чтобы определить потенциальные неправильные конфигурации и недостатки безопасности. Defender для облака затем предоставляет рекомендации на основе результатов оценки.

Каждая рекомендация содержит следующие сведения:

  • краткое описание проблемы;
  • Действия по исправлению для реализации рекомендации
  • Затронутые ресурсы
  • Уровень риска
  • Факторы риска
  • Пути атаки

Каждая рекомендация в Defender для облака имеет связанный уровень риска, который представляет, как эксплойтируемый и влияющий на проблему безопасности в вашей среде. Подсистема оценки рисков учитывает такие факторы, как воздействие Интернета, конфиденциальность данных, возможности бокового перемещения и исправление пути атаки. Вы можете определить приоритеты рекомендаций на основе их уровней риска.

Внимание

Приоритет риска не влияет на оценку безопасности.

Пример

Стандарт MCSB — это инициатива Политика Azure, которая включает несколько элементов управления соответствием. Одним из этих элементов управления является "Учетные записи хранения должны ограничивать сетевой доступ с помощью правил виртуальной сети".

Defender для облака непрерывно оценивает ресурсы. Если он находит любое, что не удовлетворяет этому элементу управления, он помечает их как несоответствующие и активирует рекомендацию. В этом случае руководство заключается в защите учетных записей служба хранилища Azure, которые не защищены правилами виртуальной сети.

Следующие шаги