Configuration Compliance importierte Daten für Microsoft Defender for Cloud Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Configuration Compliance importiert Richtlinien, Tests, autoritative Quellen und Testergebnisse aus Drittanbieterintegrationen und speichert sie in Modulen zur Ansicht.

    Hinweis:
    Ab Version 14.9 von Configuration Compliancewurden die folgenden Begriffe umbenannt:
    Tabelle : 1. Änderungen in der Terminologie
    Terminologie vor v14.9 Terminologie v14.9 und höher
    Testergebnisgruppe Korrekturaufgabe
    Gruppenregeln Regeln für Korrekturaufgaben
    Richtlinie Testgruppe

    Testgruppen

    Eine Gruppe von Konfigurationstests bildet eine Testgruppe. Testgruppen beziehen sich auf autoritative Dokumente und Testdatensätze und können an die Anforderungen Ihrer Organisation angepasst werden. Ein Konfigurationstest kann mehreren Testgruppen angehören.

    Wenn Microsoft Defender for Cloud Integration installiert ist, werden Testgruppen durch die regelmäßige Aufgabe Policy Definitions Integrationabgerufen und ausgefüllt. Sie können die geplante Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Administration > Integrationen > Integration von Richtliniendefinitionen.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie zuerst die Integration der Richtliniendefinitionen aus.

    Tests

    Tests sind Bibliotheken von Datensätzen, die Scans von Computer-Assets organisieren. Konfigurationstests definieren, wie Assets gesteuert werden müssen.

    Ein Configuration Compliance -Test ist der Mechanismus, den Integrationsanwendungen von Drittanbietern verwenden, um Assets nach Testergebnistyp zu gruppieren.

    Wenn Microsoft Defender for Cloud Integration installiert ist, ruft die regelmäßige Aufgabe Assessment Metadata Integrationdie Tests ab. Sie können die geplante Aufgabe anzeigen, indem Sie zu navigieren Integration > Primäre Integrationen > Bewertungsmetadaten-Integration.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie die Bewertungsmetadatenintegration nach der Integration der Richtliniendefinitionenaus.

    Autorisierende Quellen

    Configuration Compliance verwendet maßgebliche Quellen und Zitate, wenn Schwachstellenwarnungen für Tests generiert werden. Autorisierende Quellen beziehen sich normalerweise auf Abschnitte veröffentlichter Branchenstandards wie ISO 27001 und PCI DSS 3.2.1.

    Diese Quelldatensätze enthalten Verweise auf Informationen zu bekannten Software- und Hardware-Konfigurationsproblemen von Experten auf dem Gebiet der Computersicherheit. Sie definieren Anforderungen für Sicherheitsrichtlinien und -verfahren.

    Wenn Microsoft Defender for Cloud Integration installiert ist, ruft die regelmäßige Aufgabe Compliance Standards & Controlsdie autorisierenden Quellen und Bezugsvermerke ab. Sie können diese regelmäßige Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Integrationen > Integration von Compliance-Standards und -Steuerungen.
    Hinweis:
    Wenn Sie die Integration manuell ausführen möchten, führen Sie die Compliance Standards & Controls-Integration nach der Bewertungsmetadaten-Integrationaus.

    Assets

    Die Bewertungsintegration stellt wichtige Informationen wie Ressourcen-Tags und Cloud-Attribute bereit. Diese Informationen werden im Formular „Erkanntes Element“ angezeigt. Sie wird hauptsächlich zum Filtern in Configuration Compliance Zuweisungs- und Gruppenregeln verwendet.
    • Ressourcen-Tags: Alle Cloud-Ressourcen-Tags werden im Rahmen der Bewertungsintegrationals Host-Tags importiert. Die Cloud-Tags für jeden Cloud-Ressourcentyp werden hier gespeichert, unabhängig davon, ob die Ressource ein Host ist oder nicht.
      • Beim Tag-Speicher wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn ein Tokyo-Tag erstellt wird, kann kein Tokyo-Tag in der Host-Tag-Tabelle gespeichert werden. Tokyo und TOKIO werden als dasselbe Host-Tag betrachtet. Das zuerst importierte Tag hat den Vorzug.
      • Die Verwendung von Host-Tags als Gruppenschlüssel in einer Gruppenregel kann zu unerwarteten Ergebnissen führen. Host-Tags sind nur zur Verwendung im Bedingungsgenerator vorgesehen.
    • Cloud-Attribute für Assets: Im Folgenden sind die Cloud-Attribute aufgeführt, die die Integrationen aus Microsoft Defender for Cloudabrufen:
      • Cloud-Account
      • Cloud-Region
      • Cloud-Ressourcentyp
      • Cloud-Service-Provider

    Testergebnisse

    Configuration Compliance berechnet die Testergebnisse nicht, sondern importiert sie als Teil einer Drittanbieterintegration. Sobald sie in Configuration Complianceangezeigt werden, werden sie mithilfe von Testergebnisgruppen korrigiert.

    Wenn die Microsoft Defender for Cloud -Integration installiert ist, ruft die regelmäßige Aufgabe Assessment Integrationdie Testergebnisse ab. Sie können diese regelmäßige Aufgabe anzeigen, indem Sie zu navigieren Alle > Microsoft Defender für Cloud-Integration > Integrationen > Bewertungsintegration.

    Der Import der Bewertungsintegration ist die einzige Integration, die den Parameter Start Time auf der Registerkarte „ Integrationsdetails “ verwendet. Alle anderen Configuration Compliance -Importe übernehmen alle verfügbaren Daten unabhängig von Start Time.

    Wenn der Import der Bewertungsintegration abgeschlossen ist, wird ein Event gestartet, um Berechnungen für das Importende auszulösen.

    Die Bewertungsintegration ruft die Datenbewertungen standardmäßig nur ab, wenn sich der Status seit der letzten erfolgreichen Integrationsausführung für den letzten Tag ändert. Wenn die Bewertung in den letzten Tagen kontinuierlich fehlgeschlagen ist, ruft die Integration die Bewertung nicht ab, da für die Bewertung keine Statusänderung erfolgt. Um die Testergebnisse mit den Bewertungen der Verteidigung auf dem neuesten Stand zu halten, wird eine neue Comprehensive Assessment-Integration hinzugefügt, die die Daten der letzten sieben Tage abruft. Er wird wöchentlich ausgeführt und ruft alle Testergebnisse ab, die nicht bestanden wurden.

    CI-Suchregeln zum Identifizieren von CIs aus Microsoft Defender for Cloud -Integrationen

    Wenn Daten aus einer Drittanbieterintegration importiert werden, verwendet Configuration Compliance automatisch Ressourcendaten, um mithilfe von CI-Suchregeln nach Übereinstimmungen in Configuration Management Database (CMDB)zu suchen. Diese Regeln werden verwendet, um die Konfigurationselemente (CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Fehlerkorrektur zu unterstützen. CI-Suchregeln des Basissystems sind für Ressourcen-ID, Name und S3-Bucket verfügbar. Weitere Informationen zu CI-Suchregeln finden Sie unter CI-Sperrregeln für Microsoft Defender for Cloud Integration for Security Operations.