Microsoft Defender for Cloud 根据安全标准评估资源。 默认情况下,当你将云帐户加入 Defender for Cloud 时,将会启用 Microsoft 云安全基准 (MCSB) 标准。 Defender for Cloud 开始根据 MCSB 标准中的控制措施评估资源的安全态势,并根据评估结果发出安全建议。
本文介绍如何管理 MCSB 提供的建议。
开始之前
Defender for Cloud 中有两个特定角色可以查看和管理安全要素:
- 安全读取者:有权查看 Defender for Cloud 项(如建议、警报、策略和运行状况)。 无法执行更改。
- 安全管理员:与安全读取者具有相同的查看权限。 还可以更新安全策略并消除警报。
拒绝和强制实施建议
“拒绝”用于防止部署不符合 MCSB 标准的资源。 例如,如果有一个“拒绝”控制措施指定新存储帐户必须满足特定的条件,那么,在不符合该条件的情况下,将无法创建存储帐户。
使用“强制实施”,你能够利用 Azure Policy 中的 DeployIfNotExist 效果,并在创建时自动修正不合规的资源。
注意
“强制实施”和“拒绝”适用于 Azure 建议,并且支持一部分建议。
若要查看可以拒绝和强制实施的建议,请在“安全策略”页上的“标准”选项卡中,选择“Microsoft 云安全基准”并深入到建议中,以查看拒绝/强制操作是否可用。
管理建议设置
注意
- 如果禁用某建议,则会豁免其所有子建议。
- “已禁用”和“拒绝”效果仅适用于 Azure 环境。
在 Defender for Cloud 门户中,打开“环境设置”页。
选择要为其管理 MCSB 建议的云帐户或管理帐户。
打开“安全策略”页,然后选择 MCSB 标准。 应打开标准。
选择省略号 >“管理建议”。
在相关建议旁边选择省略号菜单,然后选择“管理效果和参数”。
- 若要启用建议,请选择“审核”。
- 若要关闭建议,请选择“禁用”
- 若要拒绝或强制实施建议,请选择“拒绝”。
强制实施建议
只能从建议详细信息页强制实施建议。
在 Defender for Cloud 门户中打开“建议”页,然后选择相关建议。
在顶部菜单中选择“强制实施”。
选择“保存”。
该设置将立即生效,但建议将根据其刷新间隔(最多 12 小时)更新。
修改附加参数
你可能想要为某些建议配置附加参数。 例如,诊断日志记录建议的默认保留期为一天。 可以更改该默认值。
在建议详细信息页中,“附加参数”列会指示建议是否具有关联的附加参数。
- 默认 – 建议使用默认配置运行
- 已配置 - 建议的配置已修改其默认值
- 无 – 建议不需要任何附加配置
在 MCSB 建议旁边选择省略号菜单,然后选择“管理效果和参数”。
在“附加参数”中,使用新值配置可用参数。
选择“保存”。
如果要还原更改,请选择“重置为默认值”以还原建议的默认值。
识别潜在冲突
如果有多个标准分配使用不同的值,则可能会引发冲突。
若要识别效果操作中的冲突,请在“添加”中,选择“效果冲突”>“有冲突”来识别任何冲突。
若要识别附加参数中的冲突,请在“添加”中,选择“附加参数冲突”>“有冲突”来识别任何冲突。
如果发现冲突,请在“建议设置”中选择所需的值并保存。
范围内的所有分配都将与新设置保持一致,从而解决冲突。
后续步骤
此页介绍了安全策略。 如需相关信息,请参阅以下页面: