簡介

  • 3 分鐘

適用於雲端的 Microsoft Defender 會持續比較資源的設定與產業標準、法規及基準的需求。

若要了解安全性態勢管理會如何評估您的環境,請務必了解安全性原則和方案。

什麼是安全性原則與方案

適用於雲端的 Microsoft Defender 會將安全性方案套用至您的訂閱上。 這些方案包含了一或多個安全性原則。 其中每一個原則都會產生能幫助改善安全性態勢的安全性建議。

什麼是安全性原則?

在 Azure 原則中建立的 Azure 原則定義,即為您所要掌控之特定安全性條件的規則。 內建定義包括控制可部署的資源類型,或強制在所有資源上使用標籤等等。 您也可以建立自己的自訂原則定義。

若要實作這些原則定義 (內建或自訂定義皆然),您必須先指派它們。 您可以透過 Azure 入口網站、PowerShell 或 Azure CLI 來指派任何這些原則。 您可以從 Azure 原則停用或啟用原則。

Azure 原則中具有不同類型的原則。 適用於雲端的 Defender 主要會使用「稽核」原則來檢查特定條件和設定,然後回報其合規性。 另外還有「強制執行」原則可用來套用安全性設定。

什麼是安全性方案?

Azure 原則方案會由 Azure 原則定義的集合,或是以同樣特定目標或目的來分組的多個規則所組成。 Azure 方案可藉由將一組原則以邏輯方式群組在一起作為單一項目,來簡化原則的管理。

安全性方案會定義工作負載所需的設定,並協助確保您符合公司或法規上的安全性需求。

如同安全性原則,適用於雲端的 Defender 方案也會在 Azure 原則中建立。 您可以使用 Azure 原則來管理原則、建置方案,以及將方案指派給多個訂閱或整個管理群組。

在適用於雲端的 Microsoft Defender 中,自動指派給每個訂閱的預設方案是 Azure 安全性基準測試。 此效能評定是 Microsoft 針對以通用合規性架構為基礎的安全性和合規性最佳做法所撰寫的一組 Azure 特定指導方針。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

適用於雲端的 Defender 提供下列選項來處理安全性方案與原則:

  • 檢視和編輯內建預設方案 - 在啟用適用於雲端的 Defender 時,名為「Azure 安全性基準測試」的方案會自動指派給所有已註冊適用於雲端的 Defender 的訂閱。 若要自訂此方案,您可以編輯原則的參數來啟用或停用其中的個別原則。 請參閱內建安全性原則清單以了解所提供之現成可用的選項。

  • 新增您自己的自訂方案 - 如果您想要自訂套用至訂閱的安全性方案,您可以在適用於雲端的 Defender 內執行此動作。 當機器未遵循您所建立的原則時,您就會收到建議。 如需有關建置和指派自訂原則的指示,請參閱<使用自訂安全性方案與原則>。

  • 將法規合規性標準新增為方案 - 在適用於雲端的 Defender 中,法規合規性儀表板會針對特定標準或法規,將環境中所有評定的狀態展現出來 (例如 Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020)。

什麼是安全性建議?

適用於雲端的 Defender 會使用原則來定期分析資源的合規性狀態,以識別潛在的安全性錯誤設定和弱點。 然後,這會提供您如何補救這些問題的建議。 建議是根據相關原則來評估資源以及找出不符合所定義需求的資源的結果。

適用於雲端的 Defender 根據您選擇的方案來提供安全性建議。 如果在比較方案的原則與資源時,發現了一或多個不符合規範的原則,系統便會在適用於雲端的 Defender 中將其呈現為建議。

建議是您為了保護和強化資源所採取的行動。 每個建議都會提供下列資訊:

  • 問題的簡短描述
  • 執行以實作建議的補救步驟
  • 受影響的資源

Azure 安全性基準是包含需求的「方案」。

例如,Azure 儲存體帳戶必須限制網路存取,以減少其攻擊面。

此方案包含多個原則,而每個原則都具有特定資源類型的需求。 這些原則會強制執行方案中的需求。

若要繼續使用範例,系統會使用 [儲存體帳戶應使用虛擬網路規則限制網路存取] 原則來強制執行儲存體需求。

適用於雲端的 Microsoft Defender 會持續評估已連線的訂用帳戶。 如果找到不滿足原則的資源,則會顯示「建議」以修正該狀況,並強化不符合您安全性需求的資源的安全性。

因此,如果您有任何受保護訂閱上的 Azure 儲存體帳戶並未受到虛擬網路規則保護,便會看到可強化這些資源的建議。

因此,(1) 方案包括 (2) 個原則,而這些原則會產生 (3) 個環境特定建議。

您是一位安全性作業分析師,在使用適用於雲端的 Microsoft Defender 的一間公司服務。 您要為混合式雲端資源的法規合規性負責。

您必須改善顯示在適用於雲端的 Microsoft Defender 上,能夠通過 Azure 安全性基準測試的控制項數量。

現在您已了解適用於雲端的 Microsoft Defender 安全性原則、方案及建議,並掌握其運作情形。

注意

選取縮圖影像以啟動實驗室模擬。 當您完成時,請務必返回此頁面,以便繼續學習。

Screenshot of the simulation page.