Konfigurations-Compliance importierte Daten für Microsoft Defender for Cloud Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Konfigurations-Compliance importiert Richtlinien, Tests, autoritative Quellen und Testergebnisse aus Drittanbieterintegrationen und speichert sie zur Ansicht in -Modulen.

    Hinweis:
    Ab v14.9 von Konfigurations-Compliancewurden die folgenden Begriffe umbenannt:
    Tabelle : 1. Änderungen in der Terminologie
    Terminologie vor v14.9 Terminologie ab Version 14.9
    Testergebnisgruppe Korrekturaufgabe
    Gruppenregeln Regeln für Korrekturaufgaben
    Richtlinie Testgruppe

    Testgruppen

    Eine Gruppe von Konfigurationstests stellt eine Testgruppe dar. Testgruppen beziehen sich auf autoritative Dokumente und Testdatensätze und können an die Anforderungen Ihres Unternehmens angepasst werden. Ein Konfigurationstest kann mehreren Testgruppen angehören.

    Wenn Microsoft Defender for Cloud Integration installiert ist, werden Testgruppen von der geplanten Aufgabe Integration von Richtliniendefinitionenabgerufen und gefüllt. Sie können die geplante Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Administration > Integrationen > Integration von Richtliniendefinitionenan.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie zuerst die Integration der Richtliniendefinitionen aus.

    Tests

    Tests sind Bibliotheken mit Datensätzen, die Scans von Computing-Assets organisieren. Konfigurationstests definieren, wie Assets verwaltet werden müssen.

    Ein Konfigurations-Compliance -Test ist der Mechanismus, den Integrationsanwendungen von Drittanbietern verwenden, um Assets nach dem Testergebnistyp zu gruppieren.

    Wenn Microsoft Defender for Cloud Integration installiert ist, ruft die geplante Aufgabe Bewertungsmetadatenintegrationdie Tests ab. Sie können die geplante Aufgabe anzeigen, indem Sie zu navigieren Integration > Primäre Integrationen > Bewertungsmetadaten-Integrationan.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie die Bewertungsmetadaten-Integration nach der Integration der Richtliniendefinitionenaus.

    Ab v15.0 von Konfigurations-Compliancewird die Testgruppe, zu der ein Test gehört, in der Spalte Testgruppen der Liste Tests angezeigt.

    Autorisierende Quellen

    Konfigurations-Compliance Bei der Generierung von Schwachstellenwarnungen für Tests verwenden Sie maßgebliche Quellen und Zitate. Autoritative Quellen sind normalerweise Abschnitten veröffentlichter Branchenstandards wie ISO 27001 und PCI DSS 3.2.1 zugeordnet.

    Diese Quelldatensätze enthalten Verweise auf Informationen zu bekannten Software- und Hardware-Konfigurationsproblemen von Experten auf dem Gebiet der Computersicherheit. Sie definieren Anforderungen für Sicherheitsrichtlinien und -verfahren.

    Wenn Microsoft Defender for Cloud Integration installiert ist, ruft die geplante Aufgabe Compliancestandards und -kontrollendie autorisierenden Quellen und Zitate ab. Sie können diese geplante Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Integrationen > Integration von Compliance-Standards und -Steuerungenan.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie die Integration von Compliance-Standards und -Steuerungen nach der Integration von Bewertungsmetadatenaus.

    Assets

    Die Assessment-Integration bietet wichtige Informationen wie Ressourcen-Tags und Cloud-Attribute. Diese Informationen werden im Formular „Erkanntes Element“ angezeigt. Es wird hauptsächlich zum Filtern in Konfigurations-Compliance Regeln für Zuweisungs- und Korrekturaufgaben verwendet.
    • Ressourcen-Tags: Alle Cloud-Ressourcen-Tags werden als Host-Tags im Rahmen der Bewertungsintegrationimportiert. Die Cloud-Tags für jeden Cloud-Ressourcentyp werden hier gespeichert, unabhängig davon, ob die Ressource ein Host ist oder nicht.
      • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein Tokyo-Tag erstellt wird, kann ein TOKIO-Tag nicht in der Host-Tag-Tabelle gespeichert werden. Tokyo und TOKIO gelten als dasselbe Host-Tag. Das zuerst importierte Tag gewinnen.
      • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Regel für Korrekturaufgaben kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Cloud-Attribute für Assets: Im Folgenden sind die Cloud-Attribute aufgeführt, die die Integrationen von Microsoft Defender for Cloudabrufen:
      • Cloud-Account
      • Cloud-Region
      • Cloud-Ressourcentyp
      • Cloud-Service-Provider

    Testergebnisse

    Konfigurations-Compliance berechnet die Testergebnisse nicht, importiert sie jedoch als Teil einer Drittanbieterintegration. Sobald sie in Konfigurations-Compliancesichtbar sind, werden sie mit Korrekturaufgaben korrigiert.

    Wenn die Microsoft Defender for Cloud -Integration installiert ist, ruft die regelmäßige Aufgabe Assessment Integration(Bewertungsintegration) die Testergebnisse ab. Sie können diese geplante Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Integrationen > Bewertungsintegrationan.

    Der Import von Bewertungsintegrationen ist die einzige Integration, die den Parameter Start Time auf der Registerkarte Integrationsdetails verwendet. Alle anderen Konfigurations-Compliance -Importe übernehmen alle verfügbaren Daten unabhängig von Start Time.

    Wenn der Import der Bewertungsintegration abgeschlossen ist, wird ein Ereignis gestartet, um Berechnungen für das Importende auszulösen.

    Die Bewertungsintegration ruft die Datenbewertungen standardmäßig nur ab, wenn sich der Status der letzten erfolgreichen Integrationsausführung für den letzten Tag ändert. Wenn also die Bewertung in den letzten Tagen kontinuierlich fehlschlägt, ruft die Integration die Bewertung nicht ab, da für die Bewertung keine Statusänderung vorliegt. Um die Testergebnisse mit den Defender-Bewertungen auf dem neuesten Stand zu halten, wird eine neue Comprehensive Assessment Integration hinzugefügt, die die Daten aus den letzten sieben Tagen abruft. Er wird wöchentlich ausgeführt und ruft alle Testergebnisse ab, die nicht bestanden wurden.

    CI-Suchregeln zum Identifizieren von CIs aus Microsoft Defender for Cloud Integrationen

    Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Konfigurations-Compliance ] mithilfe von CI-Suchregeln automatisch Ressourcendaten, um nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. Diese Regeln werden verwendet, um die Configuration Items (CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Behebung zu erleichtern. CI-Suchregeln des Basissystems sind für Ressourcen-ID, Name und S3-Bucket verfügbar. Weitere Informationen zu CI-Suchregeln finden Sie unter CI-Sperrregeln für Microsoft Defender for Cloud Integration for Security Operations.