练习 3 - 探索安全功能分数、建议和清单

实验室方案

以前,我们在概述页面上简要探讨了“安全功能分数”**。 现在,让我们深入了解此功能和相关建议。 Microsoft Defender for Cloud 会持续评估你的资源。 所有调查结果汇总成一个分数(安全功能分数),以衡量你的订阅当前的安全状况;分数越高,识别出的风险级别就越低。

任务 1:探索安全功能分数

  1. 在 Microsoft Azure 门户的搜索栏中,键入 Defender,然后选择“Microsoft Defender for Cloud”**

  2. 在 Microsoft Defender for Cloud 左侧导航菜单中的“云安全”部分下,选择“安全态势”按钮。

  3. 在“安全功能分数”页上,查看当前的总体安全功能分数百分比。

    注意: 分数以百分比值的形式显示,但也可以看到计算分数所基于的点数。 有关如何计算分数的详细信息,请参阅安全功能分数文档页。

  4. 在底部,可以看到订阅列表及其当前分数。 若要查看分数背后的建议,请选择“查看建议”**

任务 2:探索安全控制和建议

  1. 在 Microsoft Defender for Cloud 左侧导航菜单中的“常规”部分下,选择“建议”。

  2. 在“建议”页上,从顶部菜单中选择“切换到经典视图”** 链接。 请注意页面的第一部分;摘要视图,其中包括当前安全功能分数、建议进度(已完成的安全控制和建议)和资源运行状况(按严重性)。

  3. 在顶部菜单中,选择“下载 CSV 报告”** 按钮 – 这允许获取资源的快照、资源的运行状况以及关联的建议。 可以用它来进行透视和报告。

  4. 从下拉列表中选择一个建议,以查看“应禁止存储帐户公共访问”** 等格式。

    注意: 如果该建议在实验室环境中不可用,请选择可用建议。

  5. 在顶部部分,注意以下事项:

    • 建议的标题:应禁止存储帐户公共访问
    • 顶部菜单控件:豁免、拒绝、查看策略定义和打开查询
    • 严重性指示器:中等
    • 刷新间隔:30 分钟
    • 策略和技术:初始访问

  6. 下一个重要部分是“修正步骤”,其中包含修正逻辑,可在其中修正所选资源。

    信息: 在建议列表中,现在可以看到一些标记为“预览”的建议。 分数的计算中不包括它们。 仍应按这些建议修正,以便在预览期结束时,它们会有助于提升最终评分。

任务 3:探索清单功能

通过“资产清单”** 仪表板,可以获取 Microsoft Defender for Cloud 涵盖的所有资源的单一玻璃窗格视图。 它还提供针对所有 Microsoft Defender for Cloud 的信息以及其他资源详细信息(包括安全态势和保护状态)的按资源可见性。 由于此仪表板基于 Azure Resource Graph (ARG),因此可以大规模、快速轻松地跨订阅运行查询

  1. 在左侧导航菜单的“常规”部分下,选择“清单”**

  1. 在你的环境中,这些数字可能不相同,因为它会随时间发生变化

  2. 请注意资源总数,资源总数是连接到 Microsoft Defender for Cloud 而不是订阅中拥有的资源总数。

  3. 请注意运行不正常的资源的数量,运行不正常的资源是基于所选筛选器具有可操作建议的资源

  4. 使用“按名称筛选”框搜索 Windows。 现在应会看到包含所需资源的筛选视图:VM1。 将鼠标悬停在建议列中的红色条上,查看具有可用建议的工具提示。 你应该会看到 xx 建议的 Active-xx – 这些是你必须注意的可用建议。

  5. 通过选择资源打开“资源运行状况”窗格。 选择“VM1”。

  6. VM1 的“资源运行状况”窗格中,查看建议列表旁边的虚拟机信息。

    注意: 所有建议最多可能需要 24 小时才会显示出来。 而且,在实验室期间可能不会显示——有时确实会出现这种情况。 如果你在建议中看不到数据。 可以继续下一个练习,稍后进行验证。

  7. 在筛选器窗格中,删除“资源类型”筛选器,然后选择“添加筛选器”** 并注意“安全调查结果”筛选器——它允许查找容易出现特定漏洞的所有资源。 还可以搜索 CVE、KB ID、名称和缺失的更新。

  8. 在筛选器窗格中,移除在上一步中添加的“安全调查结果”筛选器,然后从顶部菜单中选择“打开查询”**

  9. 在“Azure Resource Graph Explorer”** 边栏选项卡中,选择“运行查询”**。 现在,应具有与上一步相同的资源和列列表。 此查询可根据需要进行编辑,功能非常强大。

  10. 通过从顶部菜单中选择“另存为”** 保存查询供以后使用。 可以用它创建定期报告。 将报表命名为 asc-filtered-query,然后选择“保存”。

任务 4:理解定价

定价条件取决于启用的计划。 此外,作为基础 CSPM(免费)的一部分,可以获取多个项目,例如安全功能分数、资产清单、安全建议等。

若要详细了解 Defender for Cloud 定价,请参阅以下资源:

  1. 从Microsoft Defender for Cloud 导航菜单中,选择“工作簿”**,然后选择“公共模板”** 选项卡。接下来,选择“成本估算”** 工作簿。
  2. 在“成本估算”** 工作簿中,可以观察到 Azure 两个 Defender 计划中资源的估计定价。

任务 5:CWP 功能概述

  1. 若要查看工作负载保护仪表板,请从 Microsoft Defender for Cloud 菜单的“云安全”部分导航到“工作负载保护”**

该仪表板包含以下部分:

  • Microsoft Defender for Cloud 覆盖范围 (1) - 在这里,你可以查看订阅中有资格受 Defender for Cloud 保护的资源类型。 只要相关,也可以在此处升级。 如果要升级所有可能的符合条件的资源,请选择“升级全部”。
  • 安全警报 (2) - Defender for Cloud 在你的环境的任何区域检测到威胁时会生成警报。 这些警报描述了受影响资源的详细信息、建议的修正步骤,在某些情况下,还会提供触发逻辑应用作为响应的选项。 在该图中选择任意位置将打开“安全警报”页面。
  • 高级保护 (3) - Defender for Cloud 包含许多高级威胁防护功能,这些功能适用于虚拟机、SQL 数据库、容器、Web 应用程序、网络,等等。 在此高级保护部分中,可以查看所选订阅中每种保护的资源状态。 选择其中任何一个可直接转到该保护类型的配置区域。
  • 见解 (4) - 此滚动窗格包含新闻、建议阅读内容和高优先级警报,可以让 Defender for Cloud 了解与你和你的订阅相关的严重安全问题。 不管是通过漏洞分析工具在 VM 上发现的高严重性 CVE 列表,还是 Defender for Cloud 团队成员提供的新博客文章,都可以在此处的“见解”面板中找到。

你已完成本实验室