实验室:探索 Microsoft Defender for Cloud

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft 安全解决方案的功能
  • 模块:描述 Azure 的安全管理功能
  • 单元:描述云安全态势管理

实验室场景

在此实验室中,你将探索 Microsoft Defender for Cloud。 注意:由授权实验室托管人 (AH) 提供的 Azure 订阅会限制访问,并且可能会遇到比正常情况更长的延迟。

预计用时:30 分钟

任务 1

在此任务中,你将大致演练 Microsoft Defender for Cloud 的一些功能

  1. 你应该是在 Azure 服务的主页上。 如果之前关闭了浏览器,请打开 Microsoft Edge。 在地址栏中输入“portal.azure.com”,然后使用管理员凭据登录。 如果之前已记录,系统可能会提示你输入辅助形式的身份验证,作为 MFA 的一部分。 如果以前未登录,系统可能会提示设置 MFA。 按照屏幕上的提示设置 MFA。

  2. 在蓝色搜索栏中输入“Microsoft Defender for Cloud”,然后从结果列表中选择“Microsoft Defender for Cloud”。

  3. 如果这是你首次使用订阅进入 Microsoft Defender for Cloud,可能会登陆到“入门”页面,系统还可能提示进行升级。 滚动到页面底部,然后选择“稍后提醒我”(或“跳过”)。 此时会转到“概述”页。

  4. 在 Microsoft Defender for Cloud 的概述页面中,请注意该页上可用的信息(如果没有看到任何评估的资源和活动建议,请刷新浏览器页面,这可能需要几分钟时间)。 页面顶部的信息包括 Azure 订阅数、评估资源数、可用建议数和任何安全警报。 在页面的正文中,有表示安全态势、法规合规性、见解等内容的卡片。 注意:Microsoft Defender for Cloud 默认政策举措(通常必须由管理员分配)已作为 Azure 订阅设置的一部分进行分配。 但是,安全功能分数将显示为 0%,因为 Azure 可能会延迟 24 小时才能反映初始分数。

  5. 在页面顶部选择“已评估的资源”。
    1. 随后会转到“清单”页,其中列出了当前资源。 选择虚拟机资源“sc900-winvm”。 此资源与在上一实验室中使用的虚拟机相关联。
    2. VM 的“资源运行状况”页面提供有建议列表。 从可用列表中,选择显示“运行不正常”状态的任何项。
    3. 请注意详细说明。 选择“修正”步骤旁的向下箭头。 请注意如何提供修正说明(或指向说明的链接)以及执行操作的选项。 退出窗口,不执行任何操作。
    4. 返回到 Microsoft Defender for Cloud 概述页面,方法是从页面顶部显示“资源运行状况”的位置上方选择“**Microsoft Defender for Cloud 概述**”。
  6. 从左侧导航面板中,选择“建议”。
    1. 验证是否已选中“所有建议”选项卡(带下划线)。 请注意,仪表板视图按严重性、资源运行状况等显示活动建议。
    2. 从列表选择一项。 在打开的页面中,你将看到说明和其他信息,其中可能包括修正步骤、受影响的资源等。 选择屏幕右上角的“X”退出此页面。
  7. 在左侧主导航面板中,选择“法规合规性”。 注意:如果发现没有要计算其合规性的订阅,则原因是信息显示最多可能延迟 24 小时才会显示。 转到任务 2。 如果确实看到信息,请继续执行后续步骤。
    1. 法规合规性页面提供基于 Microsoft 云安全基准的合规性控制列表(验证是否已选中 Microsoft 云安全基准选项卡 [带下划线])。 每个控制域下是控制的一个子集,每个控制都有一个或多个评估。 每个评估都提供信息,包括说明、修正和受影响的资源。
    2. 让我们来探索一个控制域区域。 选择(展开)“NS. 网络安全性”。 将显示与网络安全相关的控制列表。
    3. 选择“NS-10. 确保域名系统(DNS)安全性”。 请注意自动评估列表(包括 AWS 的自动评估)以及每个评估行项如何提供信息,包括资源类型、失败的资源和合规性工作站。 选择列出的评估。 此处显示的信息包括说明、修正步骤和受影响的资源。
    4. 选择屏幕右上角的“X”关闭页面。
    5. 从左侧导航面板中选择“概述”,返回到 Microsoft Defender for Cloud 概述页。
    6. 使 Microsoft Defender for Cloud 概述页面保持打开状态,你在下一个任务中会用到它。

任务 2

还记得吗,Microsoft Defender for Cloud 有两种模式:没有增强的安全功能(免费)以及具有通过 Microsoft Defender for Cloud 计划提供的增强安全功能。 在此任务中,你将了解如何启用/禁用各种 Microsoft Defender for Cloud 计划。

  1. 在 Microsoft Defender for Cloud 概述页面中,展开管理,然后从左侧导航面板中选择“环境设置”。
  2. 选择“全部展开”框,然后选择黄色键图标旁边列出的“MOC 订阅–lodXXXXXXXX”订阅。
  3. 在“Defender 计划”页上,注意如何选择“全部启用”或选择单个 Defender 计划。
    1. 验证 CSPM 状态是否设置为“”,如果没有,请立即设置。
    2. 为服务器启用计划。 对于“服务器”行项,选择“”,然后从页面顶部选择“保存”。
  4. 在窗口左上角显示“Microsoft Azure”的蓝色条下方,选择“主页”以返回到 Azure 服务主页。
  5. 在浏览器中将 Azure 选项卡保持在打开状态。

审阅

在此实验室中,你探索了 Microsoft Defender for Cloud。