功能
分类账记录的内容。
防护栏分类账跟踪 Azure 防护栏偏差(策略分配、豁免、RBAC 和标签)与已存储基线之间的差异。每个偏差都可由所有者、审批人签署接受并记录到期时间,审计员看到的不仅是变更内容,还包括谁签署了批准。
-
Azure 策略偏差
按订阅和范围,对策略分配和豁免与最近基线进行每日差异比较。
-
RBAC 偏差
每日比较角色分配变更,以便在访问偏差出现的范围内及时发现。
-
标签偏差
资源标签变更与基线进行对比,以便与策略和 RBAC 一起显示标签偏差。
-
Defender for Cloud 映射
建议附带受影响控制项的名称(而非原始建议 ID),并附有 Landing Zone 偏差标记。
-
暴露模式检测
公共 IP、面向互联网的存储账户以及扩大的 Key Vault 访问权限均会依据 ISO 27001:2022 A.8.20 进行标记。
-
异常分类账
每个被接受的偏差都登记所有者、审批人、到期日期和记录原因——映射到 CIS Azure Foundations 和 ISO 27001:2022 A.8.9。
-
ITSM 偏差摘要
每日扫描发现的新偏差会在您的 ITSM 中开立工单,以便从检测阶段就开始进行路由和所有权分配。
-
月度审计包
已签名的导出文件写入 Cloudflare R2,并附带限时下载 URL——偏差历史和签批记录保存在一个文件中。
-
只读收集器
辅助收集器读取 Azure 策略、豁免、RBAC 和标签。不会向您的 Azure 环境写回任何内容。
工作原理。
-
连接您的订阅
辅助收集器设置授予对 Azure Policy、豁免、RBAC 和标记的读取访问权限。不会向您的环境写回任何内容。
-
检测到偏差并进行路由
每次扫描都会将当前状态与上次基线进行比较。新出现的偏差和 Defender 发现会映射到控制项,偏差摘要会开启 ITSM 工单。
-
例外和审计记录归档
已接受的偏差将连同所有者、审批者和过期时间一起录入例外分类账。月末,已签署的审计资料包可供您的审计员使用。