Delen via

Kritieke assets controleren en classificeren

Microsoft Security Exposure Management houdt uw bedrijfskritieke assets veilig en beschikbaar. Kritieke assets helpen het SOC-team prioriteit te geven aan inspanningen om de beveiligingspostuur van de organisatie te verbeteren. Als u zich richt op kritieke assets, zorgt u ervoor dat de belangrijkste assets worden beschermd tegen het risico van gegevensschendingen en operationele onderbrekingen. In dit artikel wordt beschreven hoe u met kritieke assets werkt.

Assetkritiek

Assetkritiek is een maat voor het belang van een asset voor de activiteiten en beveiligingspostuur van uw organisatie. Het weerspiegelt een combinatie van de cyberrol, de productiecontext en het systeem of subsysteem.

Schermopname van een stroomdiagram met kritieke activa.

Assets worden gecategoriseerd in vier kritieke niveaus:

  • Zeer hoog : activa met een zeer hoge kritiek zijn essentieel voor het voortbestaan en de continuïteit van uw bedrijf. Hun compromis kan catastrofale gevolgen hebben.
  • Hoog : assets met hoge kritiek zijn van cruciaal belang voor de kernactiviteiten van uw organisatie. Hun compromis kan leiden tot aanzienlijke verstoringen.
  • Gemiddeld - Assets met gemiddelde kritiek hebben een matige impact en kunnen van invloed zijn op bepaalde functies of processen.
  • Laag : assets met lage kritiek hebben minimale impact op uw bedrijfsactiviteiten en beveiliging als ze worden aangetast.

Schermopname van het diagram met kritieke niveaus.

Het begrijpen en categoriseren van assets op basis van hun kritiek helpt bij het prioriteren van beveiligingsinspanningen en zorgt ervoor dat de belangrijkste assets het hoogste beschermingsniveau krijgen.

Impactanalyse en kroonjuwelenanalyse zijn essentiële methodologieën voor het identificeren en prioriteren van kritieke assets. Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor kritische analyse, die te vinden zijn in NIST IR 8179.

Het NIST Cybersecurity Framework (CSF) 800-53 legt ook de nadruk op richtlijnen voor assetbeheer en analyse van kritieke kenmerken, zoals beschreven in ID.AM-05, die te vinden is op: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.

Opmerking

Wanneer meerdere classificatieregels van toepassing zijn op een asset, heeft de regel met het hoogste kritiekniveau voorrang. Deze classificatie blijft van kracht totdat de asset niet meer voldoet aan de criteria voor die regel, waarna deze automatisch wordt teruggezet naar het volgende toepasselijke classificatieniveau.

Vereisten

Voordat u begint, moet u voldoen aan de volgende vereisten voor het werken met kritieke assets in Microsoft Security Exposure Management.

  • Voordat u begint, vindt u meer informatie over het beheer van kritieke activa in Exposure Management.
  • Controleer de vereiste machtigingen voor het werken met kritieke assets.
  • Voor beveiligingstelemetrie ter ondersteuning van MSEM-use cases moet op eindpunten versie 10.3740.XXXX of hoger van de Microsoft Defender voor Eindpunt agent worden uitgevoerd. We raden u aan de meest recente agentversie te gebruiken, zoals vermeld op de pagina Wat is er nieuw voor Defender voor Eindpunt.

U kunt als volgt controleren welke agentversie op een apparaat wordt uitgevoerd:

  • Blader op een specifiek apparaat naar het MsSense.exe-bestand in C:\Program Files\Windows Defender Advanced Threat Protection. Klik met de rechtermuisknop op het bestand en selecteer Eigenschappen. Controleer op het tabblad Details de bestandsversie.

  • Voor meerdere apparaten is het eenvoudiger om een geavanceerde Kusto-query voor opsporing uit te voeren om de apparaatsensorversies te controleren, als volgt:

    DeviceInfo | project DeviceName, ClientVersion

Kritieke assets controleren

Bekijk kritieke assets als volgt.

  1. Selecteer in de Microsoft Defender-portalInstellingen > Microsoft XDR-regels >> Kritiek assetbeheer.

  2. Bekijk op de pagina Kritiek assetbeheer vooraf gedefinieerde en aangepaste kritieke assetclassificaties, inclusief het aantal assets in de classificatie, of assets zijn ingeschakeld of uitgeschakeld en kritieke niveaus.

    Schermopname van het venster Kritiek assetbeheer.

Opmerking

U kunt ook kritieke assets zien in Activaapparaten >>Kritieke activa classificeren. Daarnaast kunt u het initiatief Voor kritieke activabescherming bekijken in Exposure Insights -> Initiatives.

Een nieuwe vooraf gedefinieerde classificatie aanvragen

Door een nieuwe classificatie aan onze onderzoeks- en ontwikkelingsteams voor te stellen, kunnen we onze kant-en-klare detecties uitbreiden met classificaties en rollen die in het hele ecosysteem kunnen worden toegepast. Dit verbetert het product aanzienlijk en Microsoft doet al het werk.

Vraag als volgt een nieuwe vooraf gedefinieerde classificatie aan:

  1. Selecteer op de pagina Kritieke assetbeheerde optie Nieuwe classificatie voorstellen.
  2. Vul de classificatie in die u wilt zien en selecteer vervolgens Aanvraag verzenden.

Een aangepaste classificatie maken

Met aangepaste classificaties kunt u de roltoewijzingslogica en het kritieke niveau afstemmen op het kritieke beleid van uw organisatie. Classificeer bijvoorbeeld assets in een specifiek netwerk of typen assets die een ander kritiekniveau moeten hebben dan de standaardinstelling.

Maak als volgt een aangepaste classificatie:

  1. Selecteer op de pagina Kritiek assetbeheerde optie Een nieuwe classificatie maken.

  2. Vul op de pagina Een kritieke assetclassificatie maken de volgende informatie in om uw classificatiecriteria in te stellen:

    • Naam : een nieuwe classificatienaam.
    • Beschrijving : een nieuwe classificatiebeschrijving.
    • Opbouwfunctie voor query's
      • Gebruik de opbouwfunctie voor query's om een nieuwe classificatie te definiëren, bijvoorbeeld 'alle apparaten met een bepaalde naamconventie markeren als kritiek'.
      • Voeg een of meer Booleaanse filters toe die per apparaat, identiteit of cloudresource zijn gedefinieerd.

    Schermopname van de pagina waar u kritieke assetclassificaties maakt.

  3. Nadat u de criteria hebt ingesteld, selecteert u Volgende.

  4. Bekijk op de volgende pagina's een voorbeeld van de betrokken assets en wijs het kritieke niveau toe.

Opmerking

Wanneer u in de Microsoft Defender portal een nieuwe aangepaste classificatie voor kritieke activa maakt, ondersteunt de opbouwfunctie voor query's alleen Active Directory-groepen (AD) voor op identiteit gebaseerde regels. Momenteel worden Microsoft Entra id-groepen niet ondersteund.

Kritieke assetniveaus instellen

Stel niveaus als volgt in.

  1. Selecteer op de pagina Kritiek assetbeheer een classificatie van kritieke activa.

  2. Selecteer op het tabblad Overzicht het gewenste kritiekniveau.

  3. Klik op Opslaan.

    Schermopname van de bewerkingsfunctie Critical Asset Management Criticality.

Opmerking

U kunt kritieke niveaus handmatig instellen in de apparaatinventaris. We raden u aan kritieke regels te maken die een brede toepassing van kritieke niveaus op alle assets toestaan.

Aangepaste classificaties bewerken

Bewerk aangepaste classificaties als volgt.

  1. Blader op de pagina Kritiek assetbeheer naar de classificatie die u wilt wijzigen. Alleen aangepaste classificaties kunnen worden bewerkt of verwijderd.
  2. Selecteer Bewerken, Verwijderen of Uitschakelen.

Assets toevoegen aan vooraf gedefinieerde classificaties

  1. Selecteer op de pagina Kritiek assetbeheer de relevante assetclassificatie. Met de kolom Goedkeuring in behandeling kunt u classificaties vinden met assets die niet voldoen aan de drempelwaarde voor automatische classificatie en waarvoor gebruikersgoedkeuring is vereist.

    Schermopname van vooraf gedefinieerde classificaties in de interface voor assetbeheer.

  2. Als u alle assets in de classificatie wilt zien die momenteel als kritiek worden beschouwd, selecteert u het tabblad Assets .

  3. Als u assets wilt goedkeuren die voldoen aan de classificatie, maar buiten de drempelwaarde vallen, bladert u naar Goedkeuring in behandeling.

  4. Bekijk de vermelde activa. Selecteer de plusknop naast de assets die u wilt toevoegen.

    Opmerking

    Goedkeuring in behandeling wordt alleen weergegeven wanneer er assets zijn om te controleren.

    Schermopname van het tabblad Goedkeuring in behandeling in assetbeheer.

U kunt de kritieke niveaus wijzigen en de classificatie voor alle assets uitschakelen. U kunt ook aangepaste kritieke assets bewerken en verwijderen.

Goedgekeurde assets verwijderen uit vooraf gedefinieerde classificaties

  1. Selecteer op de pagina Kritiek assetbeheer de relevante assetclassificatie.

  2. Als u alle assets in de classificatie wilt zien die momenteel als kritiek worden beschouwd, selecteert u het tabblad Assets .

  3. Selecteer de X naast de assets die u wilt verwijderen.

    Schermopname van het tabblad Assets in assetbeheer.

Sorteren op kritiek

  1. Selecteer Apparaten in apparaatinventaris.

  2. Sorteren op kritiekniveau om bedrijfskritieke assets met een 'zeer hoog' niveau van kritiek weer te geven.

    Schermopname van het venster Apparaatinventarisatie met het sorteren van kritiek.

Aanbevelingen voor kritieke assets prioriteren

Als u prioriteit wilt geven aan beveiligingsaanbeveling en herstelstappen om u te richten op kritieke assets, kunt u de som van de blootgestelde kritieke assets voor een aanbeveling bekijken op de pagina Beveiligingsaanbeveling in de Microsoft Defender portal.

Als u de som van de blootgestelde kritieke assets wilt bekijken, gaat u naar de pagina Beveiligingsaanbeveling :

Schermopname van de kolom kritieke assets op de pagina beveiligingsaanbeveling.

Volgende stappen

Meer informatie over het simuleren van aanvalspaden.

  • Last updated on