Vollständiges Produktionsinfrastrukturinventar (Secure Future Initiative)

Pfeilername: Überwachen und Erkennen von Bedrohungen

Mustername: Vollständiges Produktionsinfrastrukturinventar

Vollständiges Produktionsinfrastrukturinventar ist Teil des Monitor- und Erkennungspfeilers der Secure Future Initiative (SFI). Diese Säule konzentriert sich darauf, sicherzustellen, dass die Umgebungen von Microsoft high-fidelity Telemetrie, umfassende Sichtbarkeit und erweiterte Erkennungsfunktionen bereitstellen, um sich entwickelnde Bedrohungen zu identifizieren und darauf zu reagieren.

Ein vollständiges, genaues und nah an echtzeitnahes Inventar aller Produktionsressourcen ist die Grundlage für die Unterstützung dieser Säule– was eine konsistente Durchsetzung von Richtlinien, vertrauenswürdige Telemetrie und beschleunigte Bedrohungserkennung und -reaktion ermöglicht.

Kontext und Problem

Da Unternehmensumgebungen immer komplexer werden – mit einer Mischung aus älteren Systemen, Cloudworkloads, APIs und Benutzeridentitäten – wird die Aufrechterhaltung der Sichtbarkeit über die gesamte Produktionsinfrastruktur immer schwieriger.

Ohne vollständiges Echtzeitverständnis darüber, was in der Umgebung vorhanden ist:

Bedrohungen können aufgrund von Telemetrie-Blindflecken nicht erkannt werden.
Sicherheitsrichtlinien können inkonsistent angewendet werden
Falsch konfigurierte oder nicht verwaltete Ressourcen können zu vermeidbaren Sicherheitsrisiken führen.
Anwendungen und Dienste können lange nach dem Verlassen beibehalten werden, um die Angriffsfläche weiter zu erweitern.

Unvollständige Bestandsbestände tragen zu:

Verzögerte Bedrohungserkennung
Inkonsistente Durchsetzung von Zero Trust-Richtlinien
Operative Ineffizienzen

Selbst im Umfang von Microsoft wurde deutlich, dass unvollständige Bestandsbestände zu verzögerter Erkennung, inkonsistenter Durchsetzung von Zero Trust-Richtlinien und betrieblichen Ineffizienzen beitragen.

Die Behandlung der Sichtbarkeit der Infrastruktur als zentrale Sicherheitspriorität wird unerlässlich, um blinde Flecken zu beseitigen und Risiken zu reduzieren.

Lösung

Um diese Herausforderung zu bewältigen, hat Microsoft das vollständige Ziel der Produktionsinfrastruktur unter der Secure Future Initiative gestartet. Das Ziel: kontinuierlich einen Echtzeitbestand von 100% von Produktionsinfrastrukturressourcen – einschließlich Cloud,lokale, Hybrid- und containerisierte Umgebungen – aufrechtzuerhalten. Dieser Aufwand erforderte eine erhebliche teamübergreifende Koordination und Investitionen in skalierbare Automatisierung.

Von diesem, Microsoft:

Definiert und ermittelt alle Produktionsressourcen, einschließlich Geräte, Dienste, APIs, Workloads und Integrationen von Drittanbietern
Zentrale Bestandsverwaltung in einem System zur Nachverfolgung von Änderungen in nahezu Echtzeit
Erweiterte Überwachungsprotokoll- und Telemetrieabdeckung, um sicherzustellen, dass alle ressourcen, die standardisierte Protokolle über zentral verwaltete Agents ausgegeben haben
Integriertes Bestandssystem mit Erkennungsplattformen, Bereichern von SIEM und Bedrohungsanalysen mit Echtzeitmetadaten
Nicht verwendete Anwendungen behoben – bisher wurden über 730.000 Apps mithilfe automatisierter Protokollanalyse auf Azure Kubernetes Service gekennzeichnet und sicher entfernt, die in vertraulichen Containern gehostet werden
Implementierung eines Anwendungsbehebungsworkflows für nicht verwendete Anwendungen, die keine Aktivität oder Wartung demonstriert haben und für die sichere Entfernung gekennzeichnet und ausgewertet wurden

Bisher verfolgt Microsoft mehr als 97% von Produktionsinfrastrukturressourcen zentral. Darüber hinaus verfügen 99% von Netzwerkgeräten und mehr als 95% von Knoten/Computern über eine zentrale Sicherheitsprotokollsammlung mit einer zweijährigen Aufbewahrungsrichtlinie.

Beratung

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall	Empfohlene Aktion	Ressource
Asset Identification	Inventarisieren aller Geräte, Dienste, APIs, Workloads und Anwendungen von Drittanbietern	Kritisches Asset Management
Erkennung von Ressourcen in Echtzeit	Verwenden von automatisierten Ermittlungstools und IP-Attributionssystemen zum Erkennen von Ressourcen in Echtzeit	Kritisches Asset Management
Zentralisierter Bestand	Konsolidieren von Datensätzen in einem System, das klassifizierungs- und lebenszyklusweite Sichtbarkeit unterstützt Einrichten eines kontinuierlichen Aktualisierungsmechanismus	Status des Ressourcenlebenszyklus Übersicht über den Updateprozess für Microsoft 365 Apps
Telemetriestandardisierung	Bereitstellen zentral verwalteter Agents zum Erzwingen einer konsistenten Protokollierung Überprüfen der API-Protokollierungsabdeckung und Nachverfolgen von Observability-Lücken	Einrichten und Anzeigen erweiterter Telemetrie in Application Insights für Standardworkflows in Azure Logic Apps Application Insights-Telemetriedatenmodell Tutorial: Überwachen von veröffentlichten APIs
Integration der Bedrohungserkennung	Korrelieren von Protokollen mit Bestandsmetadaten zur Verbesserung der Erkennungstreue Verwenden von Analysen und ML zur proaktiven Identifizierung von Anomalien	Microsoft Defender Threat Intelligence Application Insights-Telemetriedatenmodell Microsoft Defender Threat Intelligence
Nicht verwendete App-Wartung	Identifizieren inaktiver Apps mithilfe von Verwendungs- und Anmeldeprotokollen Überprüfen mit Dienstbesitzern und Zulassen von geschäftskritischen Ausnahmen Anwenden eines vorläufigen Löschvorgangs mit einer Nachfrist, gefolgt von dauerhafter Entfernung Ausführen vertraulicher Workloads in einer vertrauenswürdigen Ausführungsumgebung	Microsoft Entra-Empfehlung: Entfernen nicht verwendeter Anmeldeinformationen aus Apps Microsoft Entra-Empfehlung: Entfernen nicht verwendeter Anwendungen Aufbewahrung, Löschung und Zerstörung von Daten in Microsoft 365 Schnellstart: Erstellen vertraulicher VM im Azure-Portal
Ausführen vertraulicher Workloads in einer vertrauenswürdigen Ausführungsumgebung	Erstellen vertraulicher VM im Azure-Portal für vertrauliche Workloads	Erstellen einer vertraulichen VM im Azure-Portal

Ergebnisse

Die Implementierung eines zentralisierten, umfassenden Infrastrukturbestands von Microsoft hat zu folgendem Ergebnis geführt:

Schnellere Bedrohungserkennung und Reaktion auf Vorfälle aufgrund verbesserter Signalklarkeit
Einheitliche Durchsetzung von Zero Trust-Richtlinien für alle verwalteten Ressourcen
Beseitigung veralteter oder verwaister Anwendungen, Verringerung der Angriffsfläche
Proaktive Haltungsverwaltung, die in vertrauenswürdiger Echtzeit-Telemetrie verankert ist

Vorteile

97% kontinuierliche Überwachung über produktionsübergreifende Umgebungen hinweg
Schnellere Bedrohungserkennung und Reaktion auf Vorfälle aufgrund verbesserter Signalklarkeit
Einheitliche Erzwingung von Zero Trust für alle verwalteten Ressourcen
Reduzierte Angriffsfläche durch Beseitigung veralteter oder verwaister Anwendungen
Vertrauenswürdige Telemetrie für die proaktive Haltungsverwaltung

Kompromisse

Erfordert erhebliche Technische Investitionen in die Automatisierungs- und Telemetriestandardisierung
Fordert kulturelle Veränderungen, um die Sichtbarkeit von Ressourcen in teams zu priorisieren
Beschränkt die Verwendung von nicht verwalteten oder persönlichen Geräten zugunsten von in die Domäne eingebundenen Systemen
Führt das Risiko von Unterbrechungen ein, wenn inaktive, aber kritische Apps ohne Überprüfung entfernt wurden

Wichtige Erfolgsfaktoren

Um den Erfolg nachzuverfolgen, messen Sie Folgendes:

Prozentsatz der Produktionsressourcen mit vollständiger Bestandsabdeckung
Anzahl nicht verwalteter oder verwaister Systeme behoben
Abdeckungsprozentsatz der Telemetrieprotokollierung der Infrastruktur
Metriken zur Erkennung und Reaktionszeit vor und nach der Bestandsimplementierung
Volumen nicht verwendeter Anwendungen, die pro Quartal sicher behoben werden

Zusammenfassung

Ein vollständiger Produktionsinfrastrukturbestand ist eine grundlegende Aktivierung von Secure by Design, Secure by Default und Secure Operations in der Secure Future Initiative von Microsoft.

Organisationen, die sich für die Sichtbarkeit von Ressourcen in Echtzeit und die Telemetriestandardisierung verpflichten, können ihren Sicherheitsstatus stärken, das Betriebsrisiko reduzieren und eine schnellere, effektivere Reaktion ermöglichen. Das Erstellen eines vollständigen Infrastrukturinventars ist nicht nur die bewährte Methode; es ist eine wichtige Voraussetzung für robuste, skalierbare Cybersicherheit im modernen Unternehmen.

Beginnen Sie heute mit der Erstellung Ihres Inventars, und aktivieren Sie die Bedrohungserkennung, die mit Klarheit, Konsistenz und Vertrauen funktioniert.

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-12