练习 2 - 了解 Microsoft Defender for Cloud 仪表板
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Defender for Cloud。 你负责应对由 Microsoft Defender for Cloud 生成的建议和安全警报。
任务 1:探索法规符合性
在此任务中,你将在 Microsoft Defender for Cloud 中查看法规符合性配置。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。
-
在 Microsoft Edge 浏览器中,打开 Azure 门户 https://portal.azure.com。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Microsoft Azure 门户的搜索栏中,键入 Defender,然后选择“Microsoft Defender for Cloud”**。
-
在“云安全”** 下,选择左侧菜单项中的“法规符合性”**。
-
在工具栏上选择“管理合规性标准”**。
-
选择订阅。
提示**:如果你有管理组的层次结构,请选择“全部展开**”以查找订阅。
-
在“设置”** 下,选择门户菜单中的“安全策略”**。
-
向下滚动并查看默认可用的“安全标准”。
-
使用搜索框查找“ISO 27001:2013”**。
-
选择“ISO 27001:2013”右侧的“状态”滑块并将其移至“开”。****
注意: 某些标准要求分配 Azure Policy 计划。
-
选择页面菜单上的“刷新”以确认你的订阅的“ISO 27001:2013”已设置为“开”。****
-
接下来,在“安全策略”** 页上的搜索栏中,搜索 **SOC 2 类型 2。 选择切换按钮将状态更改为“打开”
-
在“设置参数”** 边栏选项卡中,输入以下详细信息,然后选择“保存”**。
- 允许的注册表或注册表正则表达式:[]
- 允许的最大 CPU 单位:200m
- 允许的最大内存字节数:1
-
选择“安全策略”页面右上角的“X”关闭该页面,以返回“环境设置”。**
-
导航回“法规合规性”。 要查看最近添加的标准,请选择“全部显示”**
注意: 新添加的标准可能需要长达两个小时才能显示在最低合规性法规标准下。 请继续执行下一步;稍后可以查看这些标准。
任务 2:探索工作负载保护
在此任务中,你将查看工作负载保护。
-
在左侧导航菜单中,展开“云安全”** 部分,然后选择“工作负载保护”**。
-
在工作负载保护中,可以看到当前所选订阅连接资源的覆盖范围。 当前资源覆盖率应 100% 完全覆盖,这意味着完全保护。 此外,还可以查看最近的安全警报,根据严重性进行颜色编码。
-
接下来,从 Microsoft Defender for Cloud 的“常规”部分单击“清单”。 它显示未受监视的 VM 数以及所涵盖的总资源数 - 应该预期没有未受监视的 VM。 资源根据其运行状况进行分类。
任务 3:缓解安全警报
在此任务中,你将加载示例安全警报并查看警报详细信息。
-
在门户菜单的“常规”下选择“安全警报”。
-
从命令栏选择“示例警报”。 提示: 可能需要从命令栏中选择省略号 (…) 按钮。
-
在“创建示例警报(预览)”窗格中,确保已选择订阅,并在“Defender for Cloud 计划”区域中选择了所有示例警报。
-
选择“创建示例警报”。
注意:此示例警报创建过程可能需要几分钟时间才能完成,请等待“已成功创建示例警报”通知。
-
完成后,选择“刷新”(如果需要),查看警报是否显示在“安全警报”区域下。
-
选择“严重性”为“高”的有趣警报,然后执行以下操作:
-
选择“警报”复选框,此时会显示“警报详细信息”窗格。 选择“查看完整的详细信息”。
-
查看并阅读“警报详细信息”选项卡。
-
选择“执行操作”选项卡或向下滚动并选择页面底部的下一步: 执行操作”按钮。
-
查看“执行操作”信息。 请注意,可用于执行操作的部分取决于警报类型:检查资源上下文、缓解威胁、防止将来的攻击、触发自动响应、抑制类似警报。
-