Sicherheitsrichtlinien in Defender for Cloud
Sicherheitsrichtlinien in Microsoft Defender for Cloud bestehen aus Sicherheitsstandards und Empfehlungen, die ihnen helfen, Ihren Cloudsicherheitsstatus zu verbessern.
Sicherheitsstandards: Sicherheitsstandards definieren Regeln, Compliancebedingungen für diese Regeln und Maßnahmen (Effekte), die ausgeführt werden sollen, wenn Bedingungen nicht erfüllt werden. Defender für Cloud bewertet Ressourcen und Workloads anhand der in Ihren Azure-Abonnements aktivierten Sicherheitsstandards, Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekte. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zum Beheben von Sicherheitsproblemen und Verbessern des Sicherheitsstatus.
Sicherheitsstandards
Sicherheitsstandards in Defender für Cloud stammen aus einigen Quellen:
Microsoft Cloud Security Benchmark (MCSB): Der MCSB-Standard wird standardmäßig angewendet, wenn Sie Cloudkonten in Defender integrieren. Ihre Sicherheitsbewertung basiert auf der Bewertung einiger MCSB-Empfehlungen.
Wenn Sie einen oder mehrere Defender für Cloud-Pläne aktivieren, können Sie zusätzlich zu MCSB Standards aus einer Vielzahl von vordefinierten Programmen zur Einhaltung von Vorschriften hinzufügen.
Sie können benutzerdefinierte Sicherheitsstandards in Defender für Cloud erstellen und bei Bedarf integrierte und benutzerdefinierte Empfehlungen zu diesen benutzerdefinierten Standards hinzufügen.
Sicherheitsstandards in Defender for Cloud basieren auf Azure Policy Initiativen oder der für Defender for Cloud nativen Plattform. Derzeit basieren Azure-Standards auf der Azure-Richtlinie. AWS- und GCP-Standards basieren auf Defender für Cloud.
Anwenden von Sicherheitsstandards
Hier erfahren Sie, was Sie mit Sicherheitsstandards in Defender for Cloud tun können:
Ändern Sie den integrierten MCSB für das Abonnement - Wenn Sie Defender für Cloud aktivieren, wird der MCSB automatisch allen registrierten Abonnements von Defender for Cloud zugewiesen. Erfahren Sie mehr über die Verwaltung des MCSB-Standards.
Hinzufügen gesetzlicher Compliancestandards - Wenn sie mindestens einen kostenpflichtigen Plan aktiviert haben, können Sie integrierte Compliancestandards zuweisen, mit denen Sie Ihre Azure-, AWS- und GCP-Ressourcen bewerten können. Weitere Informationen zum Zuweisen gesetzlicher Standards
Hinzufügen von benutzerdefinierten Standards – Wenn mindestens ein kostenpflichtiger Defender-Plan aktiviert ist, können Sie neue benutzerdefinierte Standards und benutzerdefinierte Empfehlungen im Defender for Cloud-Portal definieren. Anschließend können Sie diesen Standards Empfehlungen hinzufügen.
Benutzerdefinierte Standards
Benutzerdefinierte Standards werden zusammen mit integrierten Standards im Compliance-Dashboard angezeigt.
Empfehlungen, die von Bewertungen gegen benutzerdefinierte Standards abgeleitet werden, werden zusammen mit Empfehlungen aus integrierten Standards angezeigt. Benutzerdefinierte Standards können integrierte und benutzerdefinierte Empfehlungen enthalten.
Benutzerdefinierte Empfehlungen
Die Verwendung von benutzerdefinierten Empfehlungen, die auf der Kusto-Abfragesprache (Kusto Query Language, KQL) basieren, ist der empfohlene Ansatz und wird für alle Clouds unterstützt, erfordert jedoch die Aktivierung des Defender CSPM-Plans. Mit diesen Empfehlungen geben Sie einen eindeutigen Namen, eine Beschreibung, Wartungs- bzw. Problembehandlungsschritte, den Schweregrad und die relevanten Standards an. Sie fügen Empfehlungslogik mit KQL hinzu. Ein Abfrageeditor bietet eine integrierte Abfragevorlage, die Sie optimieren können, oder Sie können eine eigene KQL-Abfrage schreiben.
Alternativ können alle Azure-Kunden das Onboarding für ihre benutzerdefinierten Azure Policy-Initiativen durchführen, um diese als benutzerdefinierte Empfehlungen zu integrieren (Legacyansatz).
Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen in Microsoft Defender für Cloud.
Sicherheitsempfehlungen
Defender for Cloud analysiert und bewertet regelmäßig den Sicherheitsstatus geschützter Ressourcen anhand definierter Sicherheitsstandards, um potenzielle Sicherheitsfehler und Schwachstellen zu identifizieren. Defender für Cloud bietet dann Empfehlungen basierend auf Bewertungsergebnissen.
Jede Empfehlung umfasst die folgenden Informationen:
- Eine kurze Problembeschreibung
- Korrekturschritte für die Implementierung der Empfehlung
- Betroffene Ressourcen
- Risiko-Level
- Risikofaktoren
- Angriffspfade
Jede Empfehlung in Defender für Cloud verfügt über eine zugeordnete Risikostufe, die angibt, wie angreifbar und wirkungsvoll das Sicherheitsproblem in Ihrer Umgebung ist. Das Modul zur Risikobewertung berücksichtigt Faktoren wie die Internet-Exposition, die Sensibilität der Daten, die Möglichkeit von Seitwärtsbewegungen, die Behebung von Angriffswegen und vieles mehr. Sie können Empfehlungen basierend auf ihren Risikostufen priorisieren.
Wichtig
Risikopriorisierung wirkt sich nicht auf die Sicherheitsbewertung aus.
Beispiel
Der MCSB-Standard ist eine Azure Policy-Initiative, die mehrere Compliance-Kontrollen enthält. Eines dieser Steuerelemente lautet „Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken“.
Defender für Cloud bewertet kontinuierlich Ressourcen. Wenn ein Steuerelement gefunden wird, das dieses Steuerelement nicht erfüllt, markiert es sie als nicht konform und löst eine Empfehlung aus. In diesem Fall besteht die Empfehlung darin, Azure Storage-Konten, die nicht durch virtuelle Netzwerkregeln geschützt sind, zu härten.
Nächste Schritte
- Erfahren Sie mehr über regulatorische Compliancestandards,MCSB unddie Verbesserung der Einhaltung gesetzlicher Vorschriften .
- Erfahren Sie mehr über Sicherheitsempfehlungen.