다음을 통해 공유


클라우드용 Microsoft Defender의 규정 준수 표준

클라우드용 Microsoft Defender는 특정 규정 준수 표준을 충족하거나 준수 인증을 획득하는 데 방해가 되는 문제를 식별하는 데 도움을 주어 준수 프로세스를 간소화합니다.

업계 표준, 규정 표준 및 벤치마크는 클라우드용 Defender에서 보안 표준으로 표시되고 규정 준수 대시보드에 표시됩니다.

규정 준수 컨트롤

각 보안 표준은 관련 보안 권장 사항의 논리적 그룹인 여러 준수 제어로 구성됩니다.

클라우드용 Defender는 자동으로 평가할 수 있는 준수 제어에 대해 범위 내 환경을 지속적으로 평가합니다. 평가에 따라 리소스가 규정을 준수하거나 컨트롤을 준수하지 않는 것으로 표시됩니다.

참고 항목

표준에 자동으로 평가할 수 없는 준수 제어가 있는 경우 클라우드용 Defender는 리소스가 제어를 준수하는지 여부를 결정할 수 없다는 점에 유의해야 합니다. 이 경우 컨트롤은 회색으로 표시됩니다. 또한 구독에 특정 표준과 관련된 리소스가 없는 경우 표준이 할당된 경우에도 규정 준수 대시보드에 전혀 표시되지 않습니다.

규정 준수 표준 보기

규정 준수 대시보드는 준수 상태에 대한 대화형 개요를 제공합니다.

규정 준수 대시보드를 보여 주는 스크린샷

대시보드에서는 다음을 수행할 수 있습니다.

  • 통과된 표준 제어에 대한 요약을 가져와보세요.
  • 리소스 통과율이 가장 낮은 표준 요약을 확인합니다.
  • 선택한 범위 내에서 적용되는 표준을 검토합니다.
  • 적용된 각 표준 내에서 준수 제어에 대한 평가를 검토합니다.
  • 특정 표준에 대한 요약 보고서를 가져와보세요.
  • 특정 범위에 할당된 표준을 보려면 준수 정책을 관리합니다.
  • 쿼리를 실행하여 사용자 지정 규정 준수 보고서 만들기
  • "시간 경과에 따른 준수 통합 문서"를 만들어 시간 경과에 따른 준수 상태를 추적합니다.
  • 감사 보고서를 다운로드합니다.
  • Microsoft 및 타사 감사를 위한 준수 제안을 검토합니다.

준수 표준 세부 정보

각 준수 표준에 대해 다음을 볼 수 있습니다.

  • 표준의 범위입니다.
  • 각 표준은 제어 그룹과 하위 제어 그룹으로 분류됩니다.
  • 범위에 표준을 적용하면 각 표준 제어에 대해 범위 내의 리소스에 대한 준수 평가 요약을 볼 수 있습니다.
  • 평가 상태는 표준 준수 여부를 반영합니다. 다음은 3가지 상태입니다.
    • 녹색 원은 범위 내의 리소스가 제어를 준수함을 나타냅니다.
    • 빨간색 원은 리소스가 컨트롤을 준수하지 않음을 나타냅니다.
    • 사용할 수 없는 제어는 자동으로 평가할 수 없는 제어이므로 클라우드용 Defender는 리소스가 규정을 준수하는지 여부에 액세스할 수 없습니다.

컨트롤을 드릴다운하여 평가를 통과/실패한 리소스에 대한 정보와 수정 단계에 대한 정보를 가져올 수 있습니다.

기본 준수 표준

기본적으로 클라우드용 Defender를 사용하도록 설정하면 다음 표준이 사용하도록 설정됩니다.

사용 가능한 준수 표준

클라우드용 Defender에서는 다음 표준을 사용할 수 있습니다.

Azure 구독용 표준 AWS 계정용 표준 GCP 프로젝트용 표준
오스트레일리아 정부 ISM 보호 AWS 기본 보안 모범 사례 브라질 일반 개인 정보 보호법(LGPD)
캐나다 연방 PBMM AWS Well-Architected Framework 캘리포니아 소비자 개인 정보 보호법(CCPA)
CIS Azure 기초 브라질 일반 개인 정보 보호법(LGPD) CIS 컨트롤
CIS AKS(Azure Kubernetes Service) 벤치마크 캘리포니아 소비자 개인 정보 보호법(CCPA) CIS GCP 기초
CMMC CIS Amazon EKS(Elastic Kubernetes Service) 벤치마크 CIS Google Cloud Platform Foundation 벤치마크
FedRAMP 'H' 및 'M' CIS AWS 기초 CIS Google Kubernetes Engine(GKE) 벤치마크
HIPAA/HITRUST CRI 프로필 CRI 프로필
ISO/IEC 27001 CSA CCM(클라우드 제어 행렬) CSA CCM(클라우드 제어 행렬)
뉴질랜드 ISM 제한됨 GDPR CMMC(사이버 보안 성숙 모델 인증)
NIST SP 800-171 ISO/IEC 27001 FFIEC CAT(사이버 보안 평가 도구)
NIST SP 800-53 ISO/IEC 27002 GDPR
PCI DSS NIST CSF(사이버보안 프레임워크) ISO/IEC 27001
RMIT 말레이시아 NIST SP 800-172 ISO/IEC 27002
SOC 2 PCI DSS ISO/IEC 27017
스페인 ENS NIST CSF(사이버보안 프레임워크)
SWIFT CSP CSCF NIST SP 800-53
영국 공식 및 영국 NHS NIST SP 800-171
NIST SP 800-172
PCI DSS
SOX(Sarbanes Oxley Act)
SOC 2