Bài học 1Top 5 định nghĩa/sáng kiến Azure Policy để thực thi (danh sách chi tiết và lý do)Ôn tập năm định nghĩa và sáng kiến Azure Policy chính nên được thực thi trong hầu hết môi trường, hiểu lý do, và học cách điều chỉnh chúng theo hồ sơ rủi ro và nhu cầu tuân thủ của tổ chức bạn.
Baseline security initiative selectionCritical identity and access policiesData protection and encryption policiesNetwork and exposure control policiesMonitoring and logging requirementsBài học 2Chính sách 2: yêu cầu mã hóa với khóa được quản lý bởi khách hàng nơi được yêu cầu — phân công và loại trừCấu hình chính sách yêu cầu mã hóa với khóa được quản lý bởi khách hàng nơi được yêu cầu, chọn phạm vi phù hợp, và thiết kế loại trừ cho dịch vụ hoặc môi trường nơi CMK không khả thi hoặc cần thiết.
Services supporting customer-managed keysKey vault design and key rotationPolicies requiring CMK for resourcesHandling exclusions and legacy systemsMonitoring CMK usage and failuresBài học 3Chính sách 5: yêu cầu nhật ký chẩn đoán và khóa tài nguyên cho SQL và lưu trữ sản xuất — phân công và hành động khắc phụcCấu hình chính sách yêu cầu ghi nhật ký chẩn đoán và khóa tài nguyên cho SQL và lưu trữ sản xuất, định nghĩa phạm vi sản xuất, và thiết kế các bước khắc phục tránh sự cố trong khi cải thiện khả năng khôi phục và kiểm toán.
Identifying production SQL and storagePolicies for diagnostic settings enablementRequiring resource locks on critical dataAutomated deployment of logging configsReviewing logs and lock effectivenessBài học 4Microsoft Defender for Cloud: lựa chọn kế hoạch, cấp giá, và khi nào kích hoạt bảo vệ công việcHiểu kế hoạch Defender for Cloud và cấp giá, cách chọn bảo vệ theo loại công việc, và khi nào kích hoạt kế hoạch nâng cao để cân bằng phủ sóng bảo mật, tối ưu hóa chi phí, và yêu cầu quy định hoặc kinh doanh.
Overview of Defender for Cloud plansFree vs paid tier capabilitiesEnabling plans per subscription or workspaceCost estimation and chargeback modelsOnboarding new workloads securelyBài học 5Chính sách 4: thực thi NSG và hạn chế subnet cho công việc và từ chối IP công khai trên một số loại tài nguyênTriển khai chính sách thực thi NSG, hạn chế subnet, và từ chối IP công khai trên loại tài nguyên nhạy cảm. Học thiết kế rào chắn mạng giảm phơi nhiễm trong khi cho phép mẫu kết nối cần thiết.
Policies requiring NSGs on subnetsRestricting traffic with NSG rulesDenying public IPs on protected resourcesAllowing approved public endpoints onlyValidating network posture regularlyBài học 6Khắc phục tự động: deployIfNotExists và nhận dạng được quản lý cho nhiệm vụ khắc phụcSử dụng deployIfNotExists và nhận dạng được quản lý để tự động hóa khắc phục tài nguyên không tuân thủ, thiết kế logic khắc phục an toàn, và xác thực thay đổi được áp dụng nhất quán qua môi trường.
How deployIfNotExists works in detailCreating remediation tasks and scopesUsing managed identities for changesTesting remediation in lower tiersMonitoring remediation job resultsBài học 7Xử lý ngoại lệ chính sách: quy trình miễn trừ, miễn trừ tạm thời, lý do, và theo dõiĐịnh nghĩa và quản lý miễn trừ Azure Policy, bao gồm quy trình phê duyệt, miễn trừ giới hạn thời gian, và yêu cầu lý do, trong khi duy trì khả năng truy vết và giảm thiểu rủi ro dài hạn từ các lệch chấp nhận.
Exemption types and supported scopesDocumenting business justificationsTime-bound and renewable exemptionsReview and approval workflowsReporting on active exemptionsBài học 8Cài đặt Defender for Cloud qua nhóm quản lý và đăng ký: tích hợp không gian làm việc và telemetry trung tâmLập kế hoạch triển khai Defender for Cloud qua nhóm quản lý và đăng ký, tích hợp với không gian làm việc Log Analytics, và tập trung telemetry để hỗ trợ khả năng hiển thị chéo tenant và vận hành bảo mật.
Choosing management group hierarchyConnecting subscriptions to workspacesCentralizing Defender telemetryMulti-tenant and hybrid considerationsAccess control for security teamsBài học 9Chiến lược phân công chính sách: nhóm quản lý so với đăng ký so với nhóm tài nguyên và tác động kế thừaHọc cách chọn phạm vi phân công Azure Policy đúng sử dụng nhóm quản lý, đăng ký, và nhóm tài nguyên, hiểu hành vi kế thừa, và thiết kế cấu trúc có khả năng mở rộng hỗ trợ quyền hạn tối thiểu và sở hữu rõ ràng.
When to assign at management group scopeSubscription-level assignment trade-offsResource group scoping for exceptionsPolicy inheritance and evaluation orderHandling overlapping and conflicting policiesBài học 10Tích hợp với Microsoft Sentinel và thực hành tốt nhất chuyển tiếp cảnh báo DefenderHọc cách chuyển tiếp cảnh báo Defender for Cloud đến Microsoft Sentinel, thiết kế quy tắc phân tích, và áp dụng thực hành tốt nhất cho chuẩn hóa cảnh báo, loại bỏ trùng lặp, và xử lý sự cố qua nhiều môi trường.
Connecting Defender to Sentinel workspacesConfiguring alert forwarding rulesNormalizing and enriching security alertsCreating Sentinel analytic rulesIncident triage and response workflowsBài học 11Kế hoạch Defender khuyến nghị: App Service, Storage, SQL, Key Vault, và Máy Ảo – lý do và kiểm soát bảo vệXác định kế hoạch Defender for Cloud khuyến nghị cho App Service, Storage, SQL, Key Vault, và Máy Ảo, và hiểu kiểm soát bảo vệ mà mỗi kế hoạch cung cấp để phát hiện mối đe dọa và tăng cường cấu hình.
Defender for App Service protectionsDefender for Storage threat detectionDefender for SQL and SQL serversDefender for Key Vault access monitoringDefender for Servers and VMsBài học 12Vận hành hóa tư thế: ưu tiên dựa trên rủi ro, tối ưu hóa cảnh báo, và tích hợp phát hiện tư thế vào backlog sprintChuyển đổi phát hiện tư thế thành quy trình vận hành bằng cách ưu tiên rủi ro, tối ưu hóa cảnh báo ồn ào, và tích hợp nhiệm vụ khắc phục vào sprint agile, đảm bảo cải thiện liên tục và giảm rủi ro đo lường được.
Risk-based prioritization of findingsTuning policies and alert thresholdsCreating remediation backlogs for teamsEmbedding posture tasks into sprintsMetrics and KPIs for posture maturityBài học 13Chính sách 3: hạn chế triển khai tài nguyên vào vùng được phê duyệt — phân công nhóm quản lý so với đăng kýTriển khai chính sách hạn chế triển khai vào vùng được phê duyệt, so sánh phân công nhóm quản lý so với đăng ký, và căn chỉnh chiến lược vùng với cư trú dữ liệu, độ trễ, và yêu cầu quy định.
Defining the list of allowed regionsAssigning region policies at hierarchyHandling global and regionless servicesManaging exceptions for special casesAuditing region usage over timeBài học 14Chính sách 1: thực thi chỉ HTTPS trên App Service và trang web tĩnh lưu trữ — phạm vi phân công và chế độ khắc phụcHọc thực thi chỉ HTTPS cho App Service và trang web tĩnh sử dụng Azure Policy, chọn phạm vi phân công đúng, và cấu hình nhiệm vụ khắc phục tự động sửa tài nguyên không tuân thủ quy mô lớn.
Built-in policies for HTTPS-only enforcementScoping policies to web apps and storageUsing deployIfNotExists for HTTPS settingsHandling legacy HTTP-only applicationsTesting and validating HTTPS enforcementBài học 15Giám sát tuân thủ liên tục: sử dụng bảng điều khiển tuân thủ Azure Policy, quét theo lịch, và cảnh báoKhám phá cách sử dụng chế độ xem tuân thủ Azure Policy, đánh giá theo lịch, và cảnh báo để duy trì tuân thủ liên tục, phát hiện lệch nhanh chóng, và cung cấp bằng chứng cho kiểm toán và báo cáo quy định qua môi trường.
Using the Azure Policy compliance dashboardScheduling and triggering policy scansConfiguring compliance alerts and emailsExporting compliance data for auditsTracking drift and remediation progress
