Pelajaran 15 definisi/inisiatif Dasar Azure teratas untuk digalakkan (senarai terperinci dan rasional)Semak lima definisi dan inisiatif Dasar Azure utama yang patut digalakkan dalam kebanyakan persekitaran, fahami rasional mereka, dan belajar cara menyesuaikannya dengan profil risiko dan keperluan pematuhan organisasi anda.
Pemilihan inisiatif keselamatan asasDasar identiti dan akses kritikalDasar perlindungan data dan penyulitanDasar rangkaian dan kawalan pendedahanKeperluan pemantauan dan logPelajaran 2Dasar 2: perlukan penyulitan dengan kunci diurus pelanggan di mana diwajibkan — penugasan dan pengecualianKonfigurasikan dasar yang memerlukan penyulitan dengan kunci diurus pelanggan di mana diwajibkan, pilih skop yang sesuai, dan rancang pengecualian untuk perkhidmatan atau persekitaran di mana CMK tidak boleh atau tidak perlu.
Perkhidmatan menyokong kunci diurus pelangganReka bentuk vault kunci dan pusingan kunciDasar memerlukan CMK untuk sumberMengendalikan pengecualian dan sistem lamaPemantauan penggunaan CMK dan kegagalanPelajaran 3Dasar 5: perlukan log diagnostik dan kunci sumber untuk SQL dan penyimpanan pengeluaran — penugasan dan tindakan pembetulanKonfigurasikan dasar yang memerlukan log diagnostik dan kunci sumber untuk SQL dan penyimpanan pengeluaran, tentukan skop pengeluaran, dan rancang langkah pembetulan yang mengelakkan gangguan sambil meningkatkan pemulihan dan kebolehauditan.
Mengenal pasti SQL dan penyimpanan pengeluaranDasar untuk pengaktifan tetapan diagnostikMemerlukan kunci sumber pada data kritikalPenyebaran automatik konfigurasi logSemakan log dan keberkesanan kunciPelajaran 4Microsoft Defender for Cloud: pemilihan pelan, peringkat harga, dan bila aktifkan perlindungan beban kerjaFahami pelan dan peringkat harga Defender for Cloud, cara memilih perlindungan setiap jenis beban kerja, dan bila aktifkan pelan lanjutan untuk mengimbangi liputan keselamatan, pengoptimuman kos, dan keperluan peraturan atau perniagaan.
Gambaran pelan Defender for CloudKeupayaan peringkat percuma vs berbayarMengaktifkan pelan setiap langganan atau ruang kerjaAnggaran kos dan model caj balikOnboarding beban kerja baru dengan selamatPelajaran 5Dasar 4: paksa sekatan NSG dan subnet untuk beban kerja dan tolak IP awam pada jenis sumber tertentuLaksanakan dasar yang menguatkuasakan NSG, sekatan subnet, dan tolak IP awam pada jenis sumber sensitif. Belajar rancang pengawal rangkaian yang mengurangkan pendedahan sambil membenarkan corak sambungan yang diperlukan.
Dasar memerlukan NSG pada subnetMsekat trafik dengan peraturan NSGMenolak IP awam pada sumber dilindungiBenarkan titik akhir awam yang diluluskan sahajaMengesahkan postur rangkaian secara berkalaPelajaran 6Pembetulan automatik: deployIfNotExists dan identiti diurus untuk tugas pembetulanGunakan deployIfNotExists dan identiti diurus untuk automasi pembetulan sumber tidak patuh, rancang logik pembetulan selamat, dan sahkan perubahan diterapkan secara konsisten merentasi persekitaran.
Cara deployIfNotExists berfungsi secara terperinciMencipta tugas pembetulan dan skopMenggunakan identiti diurus untuk perubahanMenguji pembetulan pada peringkat rendahPemantauan hasil kerja pembetulanPelajaran 7Mengendalikan pengecualian dasar: proses pengecualian, pengecualian sementara, justifikasi, dan penjejakanTentukan dan urus pengecualian Dasar Azure, termasuk aliran kerja kelulusan, pengecualian terikat masa, dan keperluan justifikasi, sambil mengekalkan jejak dan mengurangkan risiko jangka panjang daripada sisihan yang diterima.
Jenis pengecualian dan skop disokongMendokumentasikan justifikasi perniagaanPengecualian terikat masa dan boleh diperbaharuiAliran kerja semakan dan kelulusanPelaporan pengecualian aktifPelajaran 8Persediaan Defender for Cloud merentasi kumpulan pengurusan dan langganan: integrasi ruang kerja dan telemetri pusatRancang penyebaran Defender for Cloud merentasi kumpulan pengurusan dan langganan, integrasikan dengan ruang kerja Log Analytics, dan pusatkan telemetri untuk menyokong kemampuan lintas penyewa dan operasi keselamatan.
Memilih hierarki kumpulan pengurusanMenyambung langganan ke ruang kerjaMemusatkan telemetri DefenderPertimbangan pelbagai penyewa dan hibridKawalan akses untuk pasukan keselamatanPelajaran 9Strategi penugasan dasar: kumpulan pengurusan vs langganan vs kumpulan sumber dan implikasi pewarisanBelajar pilih skop penugasan Dasar Azure yang betul menggunakan kumpulan pengurusan, langganan, dan kumpulan sumber, fahami tingkah laku pewarisan, dan rancang struktur boleh skalakan yang menyokong least privilege dan pemilikan jelas.
Bila tugas pada skop kumpulan pengurusanKompromi penugasan tahap langgananSkop kumpulan sumber untuk pengecualianPewarisan dasar dan susunan penilaianMengendalikan dasar bertindih dan bertentanganPelajaran 10Integrasi dengan Microsoft Sentinel dan amalan terbaik penerusan amaran DefenderBelajar cara meneruskan amaran Defender for Cloud ke Microsoft Sentinel, rancang peraturan analitik, dan terapkan amalan terbaik untuk normalisasi amaran, deduplikasi, dan pengendalian insiden merentasi pelbagai persekitaran.
Menyambung Defender ke ruang kerja SentinelMengkonfigurasikan peraturan penerusan amaranNormalisasi dan memperkayakan amaran keselamatanMencipta peraturan analitik SentinelAliran kerja triage dan tindak balas insidenPelajaran 11Pelan Defender disyorkan: App Service, Penyimpanan, SQL, Key Vault, dan Mesin Maya – rasional dan kawalan pelindungKenal pasti pelan Defender for Cloud disyorkan untuk App Service, Penyimpanan, SQL, Key Vault, dan Mesin Maya, dan fahami kawalan pelindung yang setiap satu sediakan untuk mengesan ancaman dan mengukuhkan konfigurasi.
Perlindungan Defender untuk App ServicePengesanan ancaman Defender untuk PenyimpananDefender untuk SQL dan pelayan SQLPemantauan akses Defender untuk Key VaultDefender untuk Pelayan dan VMPelajaran 12Mengoperasikan postur: keutamaan berasaskan risiko, penalaan amaran, dan integrasi penemuan postur ke dalam backlog sprintTerjemah penemuan postur ke proses operasi dengan mengutamakan risiko, menala amaran bising, dan integrasikan tugas pembetulan ke dalam sprint agile, memastikan penambahbaikan berterusan dan pengurangan risiko yang boleh diukur.
Keutamaan berasaskan risiko penemuanMenala dasar dan ambang amaranMencipta backlog pembetulan untuk pasukanMengintegrasikan tugas postur ke dalam sprintMetrik dan KPI untuk kematangan posturPelajaran 13Dasar 3: sekat penyebaran sumber ke rantau yang diluluskan — penugasan kumpulan pengurusan vs langgananLaksanakan dasar yang sekat penyebaran ke rantau yang diluluskan, bandingkan penugasan kumpulan pengurusan berbanding langganan, dan selaraskan strategi rantau dengan kedudukan data, latensi, dan keperluan peraturan.
Mentakrifkan senarai rantau yang dibenarkanMenugaskan dasar rantau pada hierarkiMengendalikan perkhidmatan global dan tanpa rantauMengurus pengecualian untuk kes khasAudit penggunaan rantau dari masa ke masaPelajaran 14Dasar 1: paksa HTTPS sahaja pada App Service dan laman web statik penyimpanan — skop penugasan dan mod pembetulanBelajar menguatkuasakan HTTPS sahaja untuk App Service dan laman web statik menggunakan Dasar Azure, pilih skop penugasan yang betul, dan konfigurasikan tugas pembetulan untuk membetulkan sumber tidak patuh secara automatik pada skala besar.
Dasar bawaan untuk penguatkuasaan HTTPS sahajaSkop dasar ke aplikasi web dan penyimpananMenggunakan deployIfNotExists untuk tetapan HTTPSMengendalikan aplikasi HTTP sahaja lamaMenguji dan mengesahkan penguatkuasaan HTTPSPelajaran 15Pemantauan pematuhan berterusan: menggunakan papan pemuka pematuhan Dasar Azure, imbasan dijadualkan, dan amaranTeroka cara menggunakan pandangan pematuhan Dasar Azure, penilaian dijadualkan, dan amaran untuk mengekalkan pematuhan berterusan, mengesan drift dengan cepat, dan sediakan bukti untuk audit dan pelaporan peraturan merentasi persekitaran.
Menggunakan papan pemuka pematuhan Dasar AzureMجادualkan dan mencetuskan imbasan dasarMengkonfigurasikan amaran dan e-mel pematuhanMengeksport data pematuhan untuk auditMenjejaki drift dan kemajuan pembetulan
