Freigeben über

Identifizieren und Behandeln von Problemen mit Angriffspfaden

Defender for Cloud verwendet einen proprietären Algorithmus, um potenzielle Angriffspfade aufzuspüren, die für Ihre Multicloud-Umgebung spezifisch sind. Defender für Cloud konzentriert sich auf echte, extern gesteuerte und exploitable Bedrohungen und nicht auf allgemeine Szenarien. Der Algorithmus erkennt Angriffspfade, die außerhalb Ihrer Organisation beginnen und geschäftskritische Ziele erreichen, wodurch Sie das Rauschen reduzieren und schneller reagieren können.

Sie können die Angriffspfadanalyse verwenden, um die Sicherheitsprobleme zu beheben, die unmittelbare Bedrohungen darstellen und das größte Potenzial haben, in Ihrer Umgebung ausgenutzt zu werden. Defender für Cloud analysiert, welche Sicherheitsprobleme Teil externer Angriffspfade sind, die Angreifer verwenden könnten, um Ihre Umgebung zu verletzen. Außerdem werden die Sicherheitsempfehlungen hervorgehoben, die Sie befolgen sollten, um diese Risiken zu mindern.

Standardmäßig werden Angriffspfade nach Risikostufe organisiert. Das Risikoniveau wird durch ein kontextabhängiges Risikopriorisierungsmodul bestimmt, das die Risikofaktoren jeder Ressource berücksichtigt. Erfahren Sie mehr darüber, wie Defender for Cloud Sicherheitsempfehlungen priorisiert.

Hinweis

Diese Funktion befindet sich derzeit in der Vorschauphase.
Ausführliche Informationen zu aktuellen Lücken und Einschränkungen finden Sie unter "Bekannte Einschränkungen".

Voraussetzungen

Hinweis

Möglicherweise wird eine leere Seite "Angriffspfad" angezeigt, da sich Angriffspfade jetzt auf echte, extern gesteuerte und exploitable Bedrohungen statt auf allgemeine Szenarien konzentrieren. Dies hilft, Lärm zu reduzieren und bevorstehende Risiken zu priorisieren.

Anzeigen von Angriffspfaden, die sich auf Container beziehen:

  • Sie müssen agentlose Containerstatuserweiterung in Defender CSPM aktivieren oder

  • Sie können Defender for Containers aktivieren und die relevanten Agents installieren, um Angriffspfade im Zusammenhang mit Containern anzuzeigen. Dadurch erhalten Sie auch die Möglichkeit, Workloads auf Datenebene für Container im Sicherheits-Explorer abzufragen.

  • Erforderliche Rollen und Berechtigungen: Sicherheitsleser, Sicherheitsadministrator, Leser, Mitwirkender oder Besitzer.

Identifizieren von Angriffspfaden

Mithilfe der Angriffspfadanalyse können Sie die größten Risiken für Ihre Umgebung ermitteln und beheben.

Die Seite für Angriffspfade enthält eine Übersicht über alle vorhandenen Angriffspfade. Darüber hinaus werden die betroffenen Ressourcen und eine Liste der aktiven Angriffspfade angezeigt.

Screenshot mit einem Beispiel der Homepage für Angriffspfade.

So identifizieren Sie Angriffspfade im Azure-Portal:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Microsoft Defender for Cloud>Angriffspfadanalyse.

    Screenshot der Seite „Angriffspfadanalyse“ auf dem Hauptbildschirm

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie einen Knoten aus.

    Screenshot des Bildschirms für Angriffspfade, der zeigt, wo sich die auswählbaren Knoten befinden.

    Hinweis

    Wenn Sie über eingeschränkte Berechtigungen verfügen , insbesondere über Abonnements hinweg, werden möglicherweise keine vollständigen Details des Angriffspfads angezeigt. Dies ist ein erwartetes Verhalten, das zum Schutz vertraulicher Daten entwickelt wurde. Um alle Details anzuzeigen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen.

  5. Wählen Sie Einblick aus, um die zugehörigen Einblicke für diesen Knoten anzuzeigen.

    Screenshot der Registerkarte „Einblicke“ für einen bestimmten Knoten.

  6. Wählen Sie Empfehlungen aus.

    Screenshot, der zeigt, wo Sie Empfehlungen auf dem Bildschirm auswählen können.

  7. Wählen Sie eine Empfehlung aus.

  8. Korrigieren Sie die Empfehlung.

So identifizieren Sie Angriffspfade im Defender-Portal:

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Navigieren Sie zu Expositionsverwaltung>Angriffsfläche>Angriffspfade. Eine Übersicht über Ihre Angriffspfade wird angezeigt.

    Die Angriffspfaderfahrung bietet mehrere Ansichten:

    • Registerkarte "Übersicht": Anzeigen von Angriffspfaden im Laufe der Zeit, top 5 Drosselungspunkte, Top 5 Angriffspfadszenarien, top-Ziele und top Einstiegspunkte
    • Liste der Angriffspfade: Dynamische, filterbare Ansicht aller Angriffspfade mit erweiterten Filterfunktionen
    • Engstellen: Liste der Knotenpunkte, an denen sich mehrere Angriffswege kreuzen und die als hochriskante Engpässe markiert sind.

    Screenshot der Übersicht über den Angriffspfad im Defender-Portal.

    Hinweis

    Im Defender-Portal ist die Analyse des Angriffspfads Teil der umfassenderen Exposure Management-Funktionen und bietet eine verbesserte Integration mit anderen Microsoft-Sicherheitslösungen und einer einheitlichen Vorfallkorrelation.

  3. Wählen Sie die Registerkarte "Angriffspfade" aus .

    Screenshot der Seite

  4. Verwenden Sie die erweiterte Filterung in der Liste "Angriffspfade", um sich auf bestimmte Angriffspfade zu konzentrieren:

    • Risikostufe: Filtern nach Angriffspfaden "Hoch", "Mittel" oder "Niedrig".
    • Ressourcentyp: Konzentrieren Sie sich auf bestimmte Ressourcentypen
    • Wartungsstatus: Anzeigen von aufgelösten, laufenden oder ausstehenden Angriffspfaden
    • Zeitrahmen: Filtern nach bestimmten Zeiträumen (z. B. letzte 30 Tage)

  5. Wählen Sie einen Angriffspfad aus, um die Angriffspfadkarte anzuzeigen, eine graphbasierte Ansicht, die hervorhebt:

    • Anfällige Knoten: Ressourcen mit Sicherheitsproblemen
    • Einstiegspunkte: Externe Zugriffspunkte, an denen Angriffe beginnen könnten
    • Zielressourcen: Kritische Ressourcen, die Angreifer zu erreichen versuchen
    • Drosselungspunkte: Konvergenzpunkte, an denen sich mehrere Angriffspfade schneiden

  6. Wählen Sie einen Knoten aus, um detaillierte Informationen zu untersuchen:

    Screenshot des Bildschirms

    Hinweis

    Wenn Sie über eingeschränkte Berechtigungen verfügen , insbesondere über Abonnements hinweg, werden möglicherweise keine vollständigen Details des Angriffspfads angezeigt. Dies ist ein erwartetes Verhalten, das zum Schutz vertraulicher Daten entwickelt wurde. Um alle Details anzuzeigen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen.

  7. Überprüfen Sie die Knotendetails, einschließlich:

    • MITRE ATT&CK Taktiken und Techniken: Grundlegendes zur Angriffsmethode
    • Risikofaktoren: Umweltfaktoren, die zu Risiken beitragen
    • Zugehörige Empfehlungen: Sicherheitsverbesserungen zur Behebung des Problems

  8. Wählen Sie Einblick aus, um die zugehörigen Einblicke für diesen Knoten anzuzeigen.

  9. Wählen Sie "Empfehlungen" aus, um umsetzbare Anleitungen mit der Nachverfolgung des Fortschritts anzuzeigen.

    Screenshot, der zeigt, wo Empfehlungen im Defender-Portal ausgewählt werden sollen.

  10. Wählen Sie eine Empfehlung aus.

  11. Korrigieren Sie die Empfehlung.

    Nachdem Sie mit der Untersuchung eines Angriffspfads fertig sind und alle zugehörigen Ergebnisse und Empfehlungen überprüft haben, können Sie mit dem Korrigieren des Angriffspfads beginnen.

  12. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Behandeln von Angriffspfaden

Nachdem Sie mit der Untersuchung eines Angriffspfads fertig sind und alle zugehörigen Ergebnisse und Empfehlungen überprüft haben, können Sie mit dem Korrigieren des Angriffspfads beginnen.

So beheben Sie einen Angriffspfad im Azure-Portal:

  1. Navigieren Sie zu Microsoft Defender for Cloud>Angriffspfadanalyse.

  2. Wählen Sie einen Angriffspfad aus.

  3. Wählen Sie Korrektur aus.

    Screenshot des Angriffspfads, der zeigt, wo Sie die Wartung auswählen können

  4. Wählen Sie eine Empfehlung aus.

  5. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Korrigieren aller Empfehlungen in einem Angriffspfad

Die Angriffspfadanalyse bietet Ihnen auch die Möglichkeit, alle Empfehlungen nach Angriffspfad anzuzeigen, ohne jeden Knoten einzeln überprüfen zu müssen. Sie können alle Empfehlungen auflösen, ohne jeden Knoten einzeln anzeigen zu müssen.

Der Korrekturpfad enthält zwei Arten von Empfehlungen:

  • Empfehlungen: Empfehlungen, die den Angriffspfad beseitigen.
  • Zusätzliche Empfehlungen – Empfehlungen , die die Ausbeutungsrisiken verringern, aber nicht den Angriffspfad mindern.

So beheben Sie alle Empfehlungen im Azure-Portal:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Microsoft Defender for Cloud>Angriffspfadanalyse.

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie Korrektur aus.

    Screenshot, der zeigt, wo die Anzeige der vollständigen Liste der Empfehlungen auf dem Bildschirm ausgewählt wird.

  5. Erweitern Sie Zusätzliche Empfehlungen.

  6. Wählen Sie eine Empfehlung aus.

  7. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

So beheben Sie alle Empfehlungen im Defender-Portal:

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Navigieren Sie zu Expositionsmanagement>Angriffspfadanalyse.

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie Korrektur aus.

    Hinweis

    Das Defender-Portal bietet eine verbesserte Nachverfolgung des Wartungsfortschritts und kann Korrekturaktivitäten mit umfassenderen Sicherheitsvorgängen und Vorfallverwaltungsworkflows korrelieren.

  5. Erweitern Sie Zusätzliche Empfehlungen.

  6. Wählen Sie eine Empfehlung aus.

  7. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Erweiterte Belichtungsmanagement-Funktionen

Das Defender-Portal bietet zusätzliche Funktionen für die Analyse des Angriffspfads über das integrierte Exposure Management-Framework:

  • Einheitliche Vorfallkorrelation: Angriffspfade werden automatisch mit Sicherheitsvorfällen in Ihrem Microsoft-Sicherheitsökosystem korreliert.
  • Produktübergreifende Einblicke: Angriffspfaddaten werden mit Erkenntnissen von Microsoft Defender für Endpunkt, Microsoft Sentinel und anderen Microsoft-Sicherheitslösungen integriert.
  • Erweiterte Bedrohungserkennung: Erweiterter Kontext von Microsoft Threat Intelligence-Feeds, um Angriffsmuster und Akteurverhalten besser zu verstehen.
  • Integrierte Wartungsworkflows: Optimierte Korrekturprozesse, die automatisierte Antworten über mehrere Sicherheitstools auslösen können.
  • Executive Reporting: Verbesserte Berichterstellungsfunktionen für die Sicherheitsführung mit Unternehmensauswirkungsbewertungen.

Diese Funktionen bieten eine umfassendere Ansicht Ihres Sicherheitsstatus und ermöglichen eine effektivere Reaktion auf potenzielle Bedrohungen, die durch die Analyse des Angriffspfads identifiziert werden.

Erfahren Sie mehr über Angriffspfade in Defender für Cloud.

Nächster Schritt

Erstellen von Abfragen mit dem Cloudsicherheits-Explorer

  • Last updated on