實作和評估安全性原則

  • 12 分鐘

Contoso 的工程小組決定要試用適用於雲端的 Microsoft Defender。 在試用版中,他們有許多想要保護的 VM 資源。 從 [適用於雲端的 Microsoft Defender] 的 [概觀] 窗格中,小組成員會檢閱整體安全性情況。 小組注意到,整體安全性分數只有 38%。 他們也注意到,在 [資源安全性檢疫] 標題下有大量的建議。 他們決定嘗試加強其資源的安全性。

稽核您 VM 的法規合規性

小組會從檢閱法規合規性開始。 在法規合規性標題下,他們會檢閱下列測量:PCI DSS 3.2.1ISO 27001Azure CIS 1.1.0。 小組的成員會選取 [法規合規性] 圖格,隨即顯示其他資訊。

下表描述您可以用來測量安全性的合規性標準。

合規性標準 描述
PCI DSS 3.2.1 支付卡產業資料安全性標準 (PCI DSS) 解決了管理信用卡支付的組織安全性問題,目的是要減少信用卡詐騙問題。
ISO 27001 國際標準組織 (ISO) 27000 系列標準的一部分,27001 定義了一個系統,可將管理工作帶入 IT 系統。 若要通過認證以符合此標準的準則,組織必須接受稽核。
Azure CIS 1.1.0 網際網路安全中心 (CIS) 是參與開發保護 IT 系統安全之最佳做法的組織。 Azure CIS 1.1.0 標準的設計是為了幫助確保組織可以保護其在 Azure 雲端中的資源。
SOC TSP 服務組織控制 (SOC) 架構是一個控制標準,著重於保護雲端中儲存和處理之資訊的機密性和隱私權。

若要檢閱與這些標準相關的合規性狀態,請使用下列程序:

  1. 在 Azure 入口網站的 [適用於雲端的 Microsoft Defender] 中的 [法規合規性] 窗格上,選取 [立即下載 >]
  2. 在 [下載報表] 窗格上的 [報表標準] 清單中,選取 [合規性標準]。 例如,選取 [SOC TSP],然後選取 [下載]
  3. 開啟下載的 PDF,並檢閱其內容。

若要檢閱合規性補救的詳細資料,請在 [法規合規性] 窗格上,使用下列程序:

  1. 為相關標準選取適當的索引標籤。 例如,選取 [SOC TSP]
  2. 若要檢閱有關建議的其他詳細資料,請從 [評量] 清單中加以選取,然後選取 [檢視受影響的機器]

修補安全性建議

重要的是,除了檢閱貴組織如何比較安全性和合規性標準以外,還有更多可做的。 您也應該設法加強您的安全性,以嘗試並符合這些標準。 若要存取並套用安全性建議,請在 Azure 入口網站的 [適用於雲端的 Microsoft Defender] 中,選取 [整體安全分數] 圖格。 使用下列程序,為您的訂閱套用建議:

  1. 在 [安全分數儀表板] 上,選取適用的訂閱,然後選取 [檢視建議]

  2. 在 [建議] 窗格上,您可以下載 CSV 報表。 您也可以展開所列建議的詳細資料。

  3. 選取特定建議,然後在 [建議] 窗格 (名稱會根據建議標題而有所不同) 中,您可以展開 [補救步驟],並檢閱解決安全性問題所需的手動步驟。 然後,您可以切換至這些資源並套用補救步驟。

    提示

    在某些情況下,您可以選取特定建議上的 [補救],以套用快速修正。 當您選取時,這會自動套用補救。

  4. 您也可以套用邏輯應用程式以修正列出的資源。 若要這樣做,請選取受影響的資源,然後選取 [觸發邏輯應用程式]

  5. 在 [邏輯應用程式觸發程序] 窗格上,在邏輯應用程式載入後,選取適當的邏輯應用程式,然後選取 [觸發程序]

針對您的 Windows Server IaaS VM 執行弱點評量

您可以使用適用於雲端的 Microsoft Defender,在 VM 上執行弱點評量。 不過,您必須先在必要的資源上安裝弱點評量解決方案。

安裝弱點評量解決方案

Azure 提供內建的弱點評量解決方案。 若要在您的 VM 上啟用此項目,請使用下列程序:

  1. 開啟 [適用於雲端的 Microsoft Defender],然後選取 [建議]
  2. 在 [建議] 窗格上,如有需要,請選取適當的訂用帳戶。
  3. 在 [控制項] 清單中,展開 [補救弱點],然後選取 [在虛擬機器上啟用內建的弱點評量解決方案 (由 Qualys 提供)] 建議。
  4. 選取您要套用評量的所有 VM,然後選取 [補救]
  5. 在 [補救資源] 窗格上,選取 [補救 n 個資源]。 此流程可能需要幾分鐘或更長的時間,視要補救的資源數目而定。

提示

除了內建的弱點掃描器之外,您也可以安裝協力廠商掃描器。

執行弱點評量

安裝弱點評量之後,即可執行評量。 若要開始評量:

  1. 在 [在虛擬機器上啟用內建的弱點評量解決方案 (由 Qualys 提供)] 窗格上,重新整理顯示,並等待到 [狀況良好的資源] 索引標籤上顯示所有資源為止。(這可能需要幾分鐘或更長的時間。)
  2. 資源會顯示在 [狀況良好的資源] 索引標籤之後,請確認掃描是否自動開始。

注意

掃描將會以每四小時的間隔執行。 您無法變更此設定。

當適用於雲端的 Microsoft Defender 找出弱點後,就會顯示建議。 若要檢閱結果並補救找到的弱點,請使用下列程序:

  1. 開啟 [適用於雲端的 Microsoft Defender],然後移至 [建議] 頁面。
  2. 選取 [補救弱點],然後選取 [虛擬機器中應該補救的弱點 (由 Qualys 提供)]

適用於雲端的 Microsoft Defender 會顯示目前已選取的訂用帳戶中所有 VM 的所有結果。 這些結果會依嚴重性順序排列。 若要深入了解特定弱點,請選取該項目。

提示

若要依特定 VM 篩選結果,請開啟 [受影響的資源] 區段,然後選取 VM。 或者,您可以從 [資源健康情況] 選取 VM,並檢閱該資源的所有相關建議。

延伸閱讀

您可參閱下列文件來深入了解: