Delen via

Aanbevelingen voor beveiliging controleren

In Microsoft Defender voor Cloud worden resources en workloads beoordeeld op basis van ingebouwd en aangepast beveiligingsbeleid en frameworks voor naleving van regelgeving, die u toepast in uw cloudomgevingen (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) en meer. Op basis van deze evaluaties bieden beveiligingsaanvelingen praktische stappen om beveiligingsproblemen op te lossen en uw beveiligingspostuur te verbeteren.

Defender for Cloud maakt gebruik van een dynamische engine die proactief de risico's in uw omgeving beoordeelt. Het beschouwt het potentieel voor exploitatie en het potentiële zakelijke effect op uw organisatie. De engine geeft prioriteit aan beveiligingsaanaanvelingen op basis van de risicofactoren van elke resource. De context van de omgeving bepaalt deze risicofactoren.

Vereiste voorwaarden

Aanbevelingen zijn opgenomen in Defender voor Cloud, maar u kunt geen prioriteit geven aan risico's zien, tenzij u Defender CSPM inschakelt in uw omgeving.

De pagina met aanbevelingen bekijken

Bekijk aanbevelingen en zorg ervoor dat alle details juist zijn voordat u ze oplost.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender for Cloud>Recommendations.

  3. Selecteer een aanbeveling.

Opmerking

Deze mogelijkheid is momenteel in preview. Zie Bekende beperkingen voor meer informatie over huidige hiaten en beperkingen.

De pagina Aanbevelingen in Exposure Management biedt een lijst met beveiligingsacties met prioriteit die zijn ontworpen om uw cloudbeveiligingspostuur te verbeteren door beveiligingsproblemen, onjuiste configuraties en blootgestelde geheimen aan te pakken. Deze aanbevelingen worden gerangschikt op effectief risico, waardoor beveiligingsteams zich eerst kunnen richten op de meest kritieke bedreigingen.

  1. Meld u aan bij de Microsoft Defender-portal.

  2. Ga naar het tabblad Aanbevelingen voor blootstellingsbeheer>>in de cloud.

    Schermopname van de pagina Aanbevelingen in De Defender-portal.

  3. Filters toepassen, zoals:

    • Exposed asset: Filter op assets met blootstelling aan bedreigingen.
    • Activarisicofactoren: Filteren op specifieke risicovoorwaarden.
    • Omgeving: Filteren op Azure, AWS of GCP.
    • Workload: Filteren op specifieke workloadtypen.
    • Aanbevelingsvolwassenheid: filteren op gereedheidsniveau voor aanbevelingen.

  4. Aan de linkerkant van de pagina kunt u ervoor kiezen aanbevelingen weer te geven op beveiligingscategorie:

    • Alle aanbevelingen: volledige lijst met aanbevelingen voor beveiliging.
    • Onjuiste configuraties: beveiligingsproblemen met betrekking tot configuratie.
    • Kwetsbaarheden: softwareproblemen die patches vereisen.
    • Blootgestelde geheimen: referenties en geheimen die mogelijk gecompromitteerd raken.

    Opmerking

    Wanneer u een filter voor beveiligingscategorie selecteert, worden zowel de lijst met aanbevelingen als de overzichtskaarten bijgewerkt zodat alleen de aanbevelingen in die categorie worden weergegeven.

Samenvattingskaarten voor aanbevelingen

Voor elke weergave geeft de pagina overzichtskaarten weer die een overzicht bieden van uw cloudbeveiligingspostuur:

  • Beveiligingsscore voor de cloud: toont uw algehele cloudbeveiligingsstatus op basis van de beveiligingsaanbeveling in uw omgeving.
  • Scoregeschiedenis: houdt de wijzigingen van uw beveiligingsscore bij in de afgelopen zeven dagen, zodat u trends kunt identificeren en verbetering kunt meten.
  • Aanbevelingen op risiconiveau: geeft een overzicht van het aantal actieve beveiligingsaanaanvelingen, gecategoriseerd op ernst (kritiek, hoog, gemiddeld, laag).
  • Hoe risiconiveau wordt berekend: Hierin wordt uitgelegd hoe ernstclassificaties en assetspecifieke risicofactoren worden gecombineerd om het algehele risiconiveau voor elke aanbeveling te bepalen.

Aanbevelingsweergaven

De Defender-portal biedt twee verschillende manieren om aanbevelingen weer te geven en ermee te communiceren:

Aanbeveling per assetweergave

In deze weergave wordt een lijst weergegeven met alle aanbevelingen die zijn ingedeeld op afzonderlijke activa, gesorteerd op risiconiveau. Elke rij vertegenwoordigt één aanbeveling die van invloed is op een specifieke resource.

Wanneer u een aanbevelingsrij selecteert, wordt er een zijpaneel geopend waarin het volgende wordt weergegeven:

  • Overzicht: Algemene informatie over de aanbeveling, inclusief de beschrijving, details van de weergegeven asset en andere relevante aanbevelingsspecifieke informatie
  • Herstelstappen: Bruikbare richtlijnen voor het oplossen van het beveiligingsprobleem
  • Kaartvoorbeeld: geeft alle gerelateerde aanvalspaden weer die door de asset worden geleid, geaggregeerd op doelknooppunttype. U kunt:
    • Selecteer een geaggregeerd pad om alle bijbehorende aanvallen en aanvullende paden weer te geven
    • Selecteer een specifiek pad om de gedetailleerde visualisatie ervan weer te geven
  • Verwante initiatieven: Beveiligingsinitiatieven en nalevingsframeworks die zijn gekoppeld aan de aanbeveling
  • Er kunnen extra tabbladen worden weergegeven voor specifieke aanbevelingen met relevante contextuele informatie

Aanbevelingstitel weergave

In deze weergave worden aanbevelingen samengevoegd op titel, met een geconsolideerde lijst gerangschikt op risiconiveau. Elke rij vertegenwoordigt alle exemplaren van een bepaalde aanbeveling in uw omgeving.

Wanneer u een samengevoegde aanbevelingsrij selecteert, wordt er een zijpaneel geopend waarin het volgende wordt weergegeven:

  • Overzicht: Algemene informatie, waaronder de beschrijving van de aanbeveling, verdeling van risiconiveau over betrokken resources, governancestatus en andere relevante details
  • Herstelstappen: Bruikbare richtlijnen voor het oplossen van het beveiligingsprobleem
  • Blootgestelde activa: een lijst met alle resources die worden beïnvloed door deze aanbeveling
  • Verwante initiatieven: Beveiligingsinitiatieven en nalevingsframeworks die zijn gekoppeld aan de aanbeveling
  • Er kunnen extra tabbladen worden weergegeven voor specifieke aanbevelingen met relevante contextuele informatie

Schermopname van het zijvenster met aanbevelingen.

Alternatieve toegangspaden voor aanbevelingen:

  • Cloudinfrastructuur>Overzicht>Beveiligingspostuur>Aanbevelingen voor> beveiligingAanbevelingen weergeven
  • Blootstellingsbeheer>Initiatieven>Cloudbeveiliging>Initiatiefpagina openen>Tabblad Beveiligingsaanaanveling

Opmerking

Waarom u mogelijk verschillende resources ziet tussen Azure Portal en Defender Portal:

  • Verwijderde resources: mogelijk ziet u dat verwijderde resources nog steeds worden weergegeven in Azure Portal. Deze voorwaarde treedt op omdat in Azure Portal momenteel de laatst bekende status van resources wordt weergegeven. Het productteam werkt aan het oplossen van deze voorwaarde, zodat verwijderde resources niet meer worden weergegeven.
  • Azure Policy-resources: sommige resources die afkomstig zijn van Azure Policy, worden mogelijk niet weergegeven in de Defender-portal. Tijdens de preview worden in de portal alleen resources weergegeven die beveiligingscontext hebben en bijdragen aan zinvolle beveiligingsinzichten.
  • Resources die zijn gekoppeld aan gratis abonnementen, worden momenteel niet weergegeven in de Defender-portal.

Inzicht in risico prioritering in De Defender-portal

De ervaring Blootstellingsbeheer in de Defender-portal biedt geavanceerde mogelijkheden voor risico-prioriteitstelling waarmee beveiligingsteams zich kunnen richten op de meest kritieke bedreigingen. De engine voor dynamische risicoanalyse van Microsoft Defender for Cloud evalueert de risico's in uw omgeving, waarbij rekening wordt gehouden met de mogelijke exploitatie en de mogelijke impact op uw bedrijf.

De aanbevelingen in de Defender-portal krijgen automatisch prioriteit op basis van effectief risico, waarbij rekening wordt gehouden met meerdere contextuele factoren voor elke resource en de bijbehorende omgeving. Deze op risico's gebaseerde benadering zorgt ervoor dat beveiligingsteams eerst de meest kritieke beveiligingsproblemen kunnen oplossen, waardoor herstel efficiënter en effectiever wordt.

Op risico's gebaseerd filteren en prioriteren

De Defender-portal biedt geavanceerde filtermogelijkheden waarmee u zich kunt richten op aanbevelingen op basis van risicofactoren:

  • Blootgestelde assets: filter op middelen die direct blootgesteld zijn aan bedreigingen, zoals internet-georiënteerde middelen of middelen met kwetsbare configuraties.
  • Activarisicofactoren: Richt zich op specifieke risicovolle omstandigheden, zoals gegevensgevoeligheid, laterale bewegingsmogelijkheden of blootstelling aan kritieke infrastructuur.
  • Uitsplitsing op risiconiveau: Bekijk aanbevelingen die zijn gecategoriseerd op kritieke, hoge, gemiddelde en lage risiconiveaus.
  • Integratie van aanvalspaden: richt u op aanbevelingen die deel uitmaken van geïdentificeerde aanvalspaden.

Risicoberekening in Blootstellingsbeheer

De uniforme ervaring voor blootstellingsbeheer berekent risiconiveaus met behulp van een contextbewuste engine die rekening houdt met:

  • Omgevingscontext: Resourceconfiguratie, netwerktopologie en beveiligingspostuur.
  • Exploitabiliteitsfactoren: Hoe eenvoudig een aanvaller misbruik kan maken van het beveiligingsprobleem.
  • Bedrijfsimpact: de mogelijke gevolgen als het beveiligingsprobleem is misbruikt.
  • Aanvalsoppervlak: de blootstelling van de resource aan potentiële bedreigingen.
  • Chokepuntanalyse: Of de resource fungeert als een kritieke verbinding in mogelijke aanvalspaden.

Risiconiveaus in Defender-portal

De Defender-portal classificeert aanbevelingen in vijf risiconiveaus:

  • Kritiek: De ernstigste beveiligingsproblemen met onmiddellijke exploiteerbaarheid en een hoge bedrijfsimpact die dringende aandacht vereisen.
  • Hoog: Aanzienlijke beveiligingsrisico's die onmiddellijk moeten worden aangepakt, maar waarvoor mogelijk geen onmiddellijke actie nodig is
  • Gemiddeld: Gemiddelde beveiligingsproblemen die kunnen worden aangepakt als onderdeel van regelmatig beveiligingsonderhoud
  • Laag: Kleine beveiligingsproblemen die tijdens routinebewerkingen op uw gemak kunnen worden opgelost
  • Niet geëvalueerd: aanbevelingen die niet worden beoordeeld op risico's, meestal vanwege beperkingen van de resourcedekking.

Uitgebreide aanbevelingsdetails

Elke aanbeveling in de Defender-portal biedt uitgebreide risicocontext:

  • Samenvatting van de risicobeoordeling: Algemene risicoberekening en bijdragende factoren.
  • Aanvalsoppervlaktemapping: Visuele weergave van hoe de resource zich verhoudt tot mogelijke aanvalsscenario's.
  • Initiatiefcorrelatie: Verbinding met bredere beveiligingsinitiatieven en nalevingsframeworks.
  • CVE-koppelingen: koppelingen naar relevante veelvoorkomende beveiligingsproblemen en blootstellingen, indien van toepassing.
  • Historische context: Trends en veranderingen in risiconiveaus in de loop van de tijd.

Bekijk op de aanbevelingspagina de volgende details:

  • Risiconiveau: het beveiligingsprobleem en het bedrijfseffect van het onderliggende beveiligingsprobleem, rekening houdend met de context van de omgevingsresource, zoals blootstelling aan internet, gevoelige gegevens, zijdelingse verplaatsing en meer.
  • Risicofactoren: omgevingsfactoren van de resource die worden beïnvloed door de aanbeveling, die van invloed zijn op het beveiligingsprobleem en het bedrijfseffect van het onderliggende beveiligingsprobleem. Voorbeelden van risicofactoren zijn blootstelling aan internet, gevoelige gegevens en laterale verplaatsingsmogelijkheden.
  • Resource: de naam van de betreffende resource.
  • Status: De status van de aanbeveling, zoals niet-toegewezen, op tijd of te laat.
  • Beschrijving: Een korte beschrijving van het beveiligingsprobleem.
  • Aanvalspaden: het aantal aanvalspaden.
  • Bereik: het betrokken abonnement of de betrokken resource.
  • Versheid: het versheidsinterval van de aanbeveling.
  • Datum van laatste wijziging: de datum waarop deze aanbeveling voor het laatst is gewijzigd.
  • Ernst: De ernst van de aanbeveling: Hoog, Gemiddeld of Laag. Verderop in dit artikel vindt u meer informatie.
  • Eigenaar: De persoon die is toegewezen aan de aanbeveling.
  • Einddatum: de toegewezen einddatum voor het oplossen van de aanbeveling.
  • Tactieken en technieken: De tactieken en technieken die zijn toegewezen aan MITRE ATT&CK.

Een aanbeveling verkennen

U kunt op meerdere manieren communiceren met aanbevelingen. Als een optie niet beschikbaar is, is deze optie niet relevant voor de aanbeveling.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender for Cloud>Recommendations.

  3. Selecteer een aanbeveling.

  4. In Actie ondernemen:

    • Herstel: Een beschrijving van de handmatige stappen die nodig zijn om het beveiligingsprobleem op de betrokken resources op te lossen. Voor aanbevelingen met de optie Fix kunt u herstellogica weergeven selecteren voordat u de voorgestelde oplossing toepast op uw resources.
    • Aanbevelingseigenaar en einddatum instellen: Als u een governanceregel voor de aanbeveling inschakelt, kunt u een eigenaar en einddatum toewijzen.
    • Uitgesloten: U kunt resources uitsluiten van de aanbeveling of specifieke bevindingen uitschakelen met behulp van regels voor uitschakelen.
    • Werkstroomautomatisering: stel een logische app in zodat deze geactiveerd wordt door de aanbeveling.

    Schermopname van wat u in de aanbeveling kunt zien wanneer u het tabblad Actie ondernemen selecteert.

  5. Bekijk in Bevindingen de gekoppelde bevindingen op ernst.

    Schermopname van het tabblad Bevindingen in een aanbeveling, inclusief alle aanvalspaden voor die aanbeveling.

  6. Bekijk en onderzoek in Graph alle context die wordt gebruikt voor risico-prioriteitstelling, inclusief aanvalspaden. U kunt een knooppunt in een aanvalspad selecteren om de details van het geselecteerde knooppunt weer te geven.

    Schermopname van het tabblad Graph in een aanbeveling, inclusief alle aanvalspaden voor die aanbeveling.

  7. Als u meer details wilt weergeven, selecteert u een knooppunt.

    Schermopname van het tabblad Graph met een knooppunt geselecteerd, met aanvullende details.

  8. Selecteer Insights.

  9. Als u details wilt weergeven, selecteert u een beveiligingsprobleem in de vervolgkeuzelijst.

    Schermopname van het tabblad Inzichten voor een knooppunt.

  10. (Optioneel) Als u de bijbehorende aanbevelingspagina wilt weergeven, selecteert u De pagina Beveiligingsproblemen openen.

  11. Herstel de aanbeveling.

In de Defender-portal kunt u op meerdere manieren communiceren met aanbevelingen via de ervaring Blootstellingsbeheer. Zodra u een aanbeveling selecteert ophet tabblad>>, kunt u gedetailleerde informatie verkennen en actie ondernemen.

Pas filters en filtersets toe, zoals blootgestelde activa, assetrisicofactoren, omgeving, workload, vervaldatum van aanbeveling en andere.

In het linkernavigatiedeelvenster kunt u ervoor kiezen om alle aanbevelingen of weergaven per specifieke categorie weer te geven.

Er bestaan afzonderlijke weergaven voor probleemtypen:

  • Onjuiste configuraties
  • Kwetsbaarheden
  • Blootgestelde geheimen

Voor elke weergave ziet u de beveiligingsscore voor de cloud, de scoregeschiedenis, de aanbeveling op risiconiveau en hoe het risico wordt berekend.

Opmerking

In de Defender-portal worden sommige aanbevelingen die eerder als één samengevoegd item verschenen, nu weergegeven als meerdere afzonderlijke aanbevelingen. Deze wijziging weerspiegelt een verschuiving van het groeperen van gerelateerde bevindingen onder één aanbeveling tot het afzonderlijk weergeven van elke aanbeveling.

  • Mogelijk ziet u een langere lijst met aanbevelingen in vergelijking met eerder. Gecombineerde bevindingen (zoals beveiligingsproblemen, blootgestelde geheimen of onjuiste configuraties) worden nu weergegeven als afzonderlijke aanbevelingen in plaats van genest onder een bovenliggende aanbeveling.
  • De oude gegroepeerde aanbevelingen worden nog steeds naast de nieuwe indeling weergegeven, maar ze zijn uiteindelijk afgeschaft.
  • Deze aanbevelingen worden gemarkeerd als preview. Deze tag geeft aan dat de aanbeveling een vroege status heeft en nog geen invloed heeft op de beveiligingsscore.
  • Secure Score is momenteel alleen van toepassing op de hoofdaanbeveling, niet op elk afzonderlijk item.

Als u zowel indelingen als aanbevelingen met een preview-tag ziet, wordt deze voorwaarde verwacht tijdens de overgang. Het doel is om de duidelijkheid te verbeteren en u in staat te stellen om gemakkelijker te reageren op specifieke aanbevelingen.

Door Defender for Cloud te integreren in de Defender-portal, hebt u ook toegang tot verbeterde aanbevelingen voor de cloud via de geïntegreerde interface.

Belangrijke verbeteringen in de ervaring met aanbevelingen voor de cloud zijn onder andere:

  • Risicofactoren per asset: beoordeel de bredere blootstellingscontext van elke aanbeveling voor weloverwogen beslissingen.
  • Risicogebasteerd scoren: nieuwe score die aanbevelingen afweegt op basis van ernst, assetcontext en mogelijke impact.
  • Verbeterde gegevens: Kernaanbiedingsgegevens van Azure Recommendations verrijkt met extra velden en mogelijkheden van Exposure Management.
  • Prioriteit geven aan kritiek: meer nadruk op kritieke problemen die het hoogste risico vormen voor uw organisatie.

De geïntegreerde ervaring zorgt ervoor dat aanbevelingen voor cloudbeveiliging worden gecontextualiseerd binnen het bredere beveiligingslandschap, wat leidt tot beter geïnformeerde besluitvorming en efficiëntere remediëringsworkflows.

Aanbevelingen groeperen op titel

U kunt aanbevelingen groeperen op titel met behulp van de aanbevelingspagina van Defender for Cloud. Deze functie is handig als u een aanbeveling wilt oplossen die van invloed is op meerdere resources vanwege een specifiek beveiligingsprobleem.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender for Cloud>Recommendations.

  3. Selecteer Groeperen op titel.

    Schermopname van de aanbevelingenpagina die de locatie van de toggleknop Groeperen op titel toont.

Uw toegewezen aanbevelingen beheren

Defender voor Cloud ondersteunt governanceregels voor aanbevelingen. U kunt een eigenaar van een aanbeveling of een vervaldatum toewijzen. U kunt de verantwoordelijkheid garanderen door governanceregels te gebruiken, die ook een SLA (Service Level Agreement) ondersteunen voor aanbevelingen.

  • Aanbevelingen worden weergegeven als Op tijd totdat de einddatum is verstreken. Dan veranderen ze in Te laat.
  • Wanneer een aanbeveling niet als te laat is geclassificeerd, heeft dit geen invloed op uw Microsoft-beveiligingsscore.
  • U kunt ook een respijtperiode toepassen, zodat achterstallige aanbevelingen geen invloed hebben op uw beveiligingsscore.

Meer informatie over het configureren van governanceregels.

Als u al uw toegewezen aanbevelingen wilt zien:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender for Cloud>Recommendations.

  3. Selecteer Filter toevoegen>Eigenaar.

  4. Selecteer uw gebruikersvermelding.

  5. Selecteer de optie Toepassen.

  6. Bekijk in de aanbevelingenresultaten de aanbevelingen, waaronder betrokken resources, risicofactoren, aanvalspaden, einddatums en status.

  7. Selecteer een aanbeveling om deze verder te bekijken.

Voer de volgende stappen uit om wijzigingen aan te brengen in een toewijzing:

  1. Ga naar Actie ondernemen>Wijzig eigenaar en vervaldatum.

  2. Selecteer Opdracht bewerken om de eigenaar of einddatum van de aanbeveling te wijzigen.

  3. Als u een nieuwe hersteldatum selecteert, geeft u op waarom herstel moet worden voltooid op die datum in De reden.   

  4. Selecteer Opslaan.

    Opmerking

    Wanneer u de verwachte voltooiingsdatum wijzigt, wordt de einddatum voor de aanbeveling niet gewijzigd, maar kunnen beveiligingspartners zien dat u van plan bent om de resources op de opgegeven datum bij te werken.

De eigenaar van de resource ontvangt standaard een wekelijks e-mailbericht met alle aanbevelingen die eraan zijn toegewezen.

Gebruik de optie E-mailmeldingen instellen om:

  • Wijzig de standaard wekelijkse e-mail voor de eigenaar.
  • Informeer eigenaren wekelijks met een lijst met openstaande of te laat uitgevoerde taken.
  • Stel de directe manager van de eigenaar op de hoogte met een open takenlijst.

Aanbevelingen bekijken in Azure Resource Graph

U kunt Azure Resource Graph gebruiken om een KQL-query (Kusto Query Language) te schrijven om query's uit te voeren op Defender for Cloud-beveiligingspostuurgegevens in meerdere abonnementen. Met behulp van Azure Resource Graph kunt u efficiënt query's uitvoeren op schaal in cloudomgevingen door gegevens weer te geven, te filteren, te groeperen en te sorteren.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender for Cloud>Recommendations.

  3. Selecteer een aanbeveling.

  4. Selecteer Query openen.

  5. U kunt de query op twee manieren openen:

    • Query die de betrokken resource retourneert: retourneert een lijst met alle resources die van invloed zijn op de aanbeveling.
    • Query retourneert beveiligingsresultaten: retourneert een lijst met alle beveiligingsproblemen die door de aanbeveling zijn gevonden.

  6. Selecteer query uitvoeren.

    Schermopname van Azure Resource Graph Explorer met de resultaten voor de aanbeveling uit de vorige schermopname.

  7. Bekijk de resultaten.

Verwante inhoud

  • Last updated on