Udostępnij przez

Przegląd zaleceń dotyczących zabezpieczeń

W usłudze Microsoft Defender for Cloud zasoby i obciążenia są oceniane pod kątem wbudowanych i niestandardowych zasad zabezpieczeń oraz struktur zgodności z przepisami, które są stosowane w środowiskach chmury (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) i nie tylko). Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki rozwiązywania problemów z zabezpieczeniami i poprawy stanu zabezpieczeń.

Usługa Defender for Cloud aktywnie używa aparatu dynamicznego, który ocenia zagrożenia w danym środowisku, podczas gdy uwzględnia potencjał wykorzystania i potencjalny wpływ biznesowy na organizację. Aparat określa priorytety zaleceń dotyczących zabezpieczeń na podstawie czynników ryzyka poszczególnych zasobów. Kontekst środowiska określa te czynniki ryzyka.

Wymagania wstępne

Zalecenia są uwzględniane w usłudze Defender for Cloud, ale nie można zobaczyć priorytetyzacji ryzyka , chyba że włączysz usługę Defender CSPM w środowisku.

Przejrzyj stronę zaleceń

Przejrzyj zalecenia i upewnij się, że wszystkie szczegóły są poprawne przed ich rozwiązaniem.

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Defender for Cloud>Zalecenia.

  3. Wybierz zalecenie.

Zrozumienie priorytetyzacji ryzyka

Usługa Microsoft Defender for Cloud aktywnie wykorzystuje aparat dynamiczny, który ocenia czynniki ryzyka w danym środowisku, biorąc pod uwagę potencjał wykorzystania i potencjalny wpływ biznesowy na organizację. Aparat określa priorytety zaleceń dotyczących zabezpieczeń na podstawie czynników ryzyka poszczególnych zasobów, które są określane przez kontekst środowiska, w tym konfigurację zasobu, połączenia sieciowe i stan zabezpieczeń.

Gdy usługa Defender for Cloud przeprowadza ocenę ryzyka problemów z zabezpieczeniami, aparat identyfikuje najważniejsze zagrożenia bezpieczeństwa, rozróżniając je od mniej ryzykownych problemów. Rekomendacje są następnie sortowane na podstawie ich poziomu ryzyka, co pozwala rozwiązać problemy z zabezpieczeniami, które stanowią natychmiastowe zagrożenia z największym potencjałem wykorzystania w danym środowisku.

Co to są czynniki ryzyka?

Usługa Defender for Cloud korzysta z kontekstu środowiska, w tym konfiguracji zasobu, połączeń sieciowych i stanu zabezpieczeń, aby przeprowadzić ocenę ryzyka potencjalnych problemów z zabezpieczeniami. Dzięki temu identyfikuje najważniejsze zagrożenia bezpieczeństwa, rozróżniając je od mniej ryzykownych problemów. Rekomendacje są następnie sortowane na podstawie ich poziomu ryzyka.

Aparat oceny ryzyka uwzględnia istotne czynniki ryzyka, takie jak:

  • Ekspozycja internetowa: czy zasoby są dostępne z Internetu
  • Wrażliwość danych: obecność danych wrażliwych lub poufnych
  • Ruch boczny: Potencjalna możliwość przemieszczania się atakujących między zasobami
  • Ścieżki ataków: czy problem z zabezpieczeniami jest częścią potencjalnych scenariuszy ataku

Poziomy ryzyka i obliczenia

Usługa Defender for Cloud używa aparatu określania priorytetów ryzyka z obsługą kontekstu, aby obliczyć poziom ryzyka każdego zalecenia dotyczącego zabezpieczeń. Poziom ryzyka jest określany przez czynniki ryzyka dla każdego zasobu, takie jak jego konfiguracja, połączenia sieciowe i stan zabezpieczeń. Poziom ryzyka jest obliczany na podstawie potencjalnego wpływu naruszenia zabezpieczeń, kategorii ryzyka i ścieżki ataku, której częścią jest problem z zabezpieczeniami.

Rekomendacje są klasyfikowane w pięciu kategoriach na podstawie ich poziomu ryzyka:

  • Krytyczne: zalecenia wskazujące krytyczną lukę w zabezpieczeniach, którą osoba atakująca może wykorzystać w celu uzyskania nieautoryzowanego dostępu do systemów lub danych.
  • Wysoki: zalecenia wskazujące potencjalne zagrożenie bezpieczeństwa, które należy rozwiązać w odpowiednim czasie, ale mogą nie wymagać natychmiastowej uwagi.
  • Średni: Rekomendacje wskazujące stosunkowo niewielki problem z zabezpieczeniami, który można rozwiązać u wygody.
  • Niski: rekomendacje wskazujące stosunkowo niewielki problem z zabezpieczeniami, który można rozwiązać dla Twojej wygody.
  • Nie oceniono: rekomendacje, które nie zostały jeszcze ocenione. Może to być spowodowane tym, że zasób nie jest objęty planem CSPM usługi Defender, który jest wymaganiem wstępnym dla poziomu ryzyka.

Szczegóły pulpitu nawigacyjnego zaleceń

Na stronie zaleceń można przejrzeć następujące szczegóły dotyczące priorytetów ryzyka:

  • Tytuł: tytuł zalecenia
  • Zasób, którego dotyczy problem: zasób, którego dotyczy zalecenie
  • Poziom ryzyka: Możliwość wykorzystania i wpływ biznesowy podstawowego problemu z zabezpieczeniami, uwzględniając kontekst zasobów środowiskowych, taki jak: narażenie na Internet, poufne dane, ruch boczny i inne
  • Czynniki ryzyka: Czynniki środowiskowe zasobu, którego dotyczy zalecenie, co wpływa na możliwości wykorzystania i wpływ na działalność bazowego problemu z zabezpieczeniami
  • Ścieżki ataków: liczba ścieżek ataku, w których rekomendacja jest uwzględniona, oparta na wynikach wyszukiwania przez aparat zabezpieczeń wszystkich potencjalnych ścieżek ataków.
  • Właściciel: osoba, do której przypisano zalecenie
  • Stan: bieżący stan zalecenia (nieprzypisany, w terminie, zaległe)
  • Szczegółowe informacje: informacje związane z zaleceniem, takie jak jeśli jest w wersji zapoznawczej, jeśli można jej odmówić, jeśli dostępna jest opcja naprawy

Uwaga / Notatka

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Aby uzyskać szczegółowe informacje na temat bieżących luk i ograniczeń, zobacz Znane ograniczenia.

Strona Rekomendacje w usłudze Exposure Management zawiera priorytetową listę akcji zabezpieczeń mających na celu poprawę stanu zabezpieczeń w chmurze poprzez rozwiązywanie luk w zabezpieczeniach, błędów konfiguracji i uwidocznionych wpisów tajnych. Te zalecenia są klasyfikowane według skutecznego ryzyka, pomagając zespołom ds. zabezpieczeń skupić się najpierw na najbardziej krytycznych zagrożeniach.

  1. Zaloguj się do portalu Microsoft Defender.

  2. Przejdź do karty Zarządzanie Ekspozycją>Zalecenia>Chmura.

    Zrzut ekranu przedstawiający stronę Zalecenia w portalu usługi Defender.

  3. Zastosuj filtry, takie jak:

    • Ujawniony zasób: filtruj według zasobów z wystawieniem na zagrożenia
    • Czynniki ryzyka związanego z zasobami: filtruj według określonych warunków ryzyka
    • Środowisko: filtruj według platformy Azure, AWS lub GCP
    • Obciążenie: filtruj według określonych typów obciążeń
    • Dojrzałość rekomendacji: filtruj według poziomu gotowości rekomendacji

  4. Po lewej stronie możesz wyświetlić zalecenia według kategorii zabezpieczeń:

    • Wszystkie zalecenia: Pełna lista zaleceń dotyczących zabezpieczeń
    • Błędy konfiguracji: Problemy z zabezpieczeniami związane z konfiguracją
    • Luki w zabezpieczeniach: luki w oprogramowaniu wymagające poprawek
    • Ujawnione wpisy tajne: poświadczenia i wpisy tajne, które mogą zostać naruszone

    Uwaga / Notatka

    Po wybraniu filtru kategorii zabezpieczeń zarówno lista zaleceń, jak i karty podsumowania są aktualizowane w celu odzwierciedlenia tylko zaleceń w tej kategorii.

Karty podsumowania zaleceń

Dla każdego widoku na stronie są wyświetlane karty podsumowania, które zapewniają błyskawiczne omówienie stanu zabezpieczeń chmury:

  • Wskaźnik bezpieczeństwa chmury: przedstawia ogólną kondycję zabezpieczeń w chmurze na podstawie zaleceń dotyczących zabezpieczeń w danym środowisku
  • Historia wyników: śledzi zmiany wskaźnika bezpieczeństwa w ciągu ostatnich 7 dni, pomagając identyfikować trendy i mierzyć ulepszenia
  • Zalecenia według poziomu ryzyka: podsumowuje liczbę aktywnych zaleceń dotyczących zabezpieczeń, skategoryzowanych według ważności (krytyczne, wysokie, średnie, niskie)
  • Jak jest obliczany poziom ryzyka: wyjaśnia, w jaki sposób oceny ważności i czynniki ryzyka specyficzne dla zasobów są łączone w celu określenia ogólnego poziomu ryzyka dla każdego zalecenia

Widoki rekomendacji

Portal usługi Defender udostępnia dwa różne sposoby wyświetlania zaleceń i interakcji z nimi:

Zalecenie dla widoku zasobu

Ten widok zawiera listę wszystkich zaleceń zorganizowanych według poszczególnych zasobów uporządkowanych według poziomu ryzyka. Każdy wiersz reprezentuje pojedyncze zalecenie wpływające na określony zasób.

Po wybraniu wiersza rekomendacji zostanie otwarty panel boczny, wyświetlający:

  • Omówienie: Ogólne informacje o rekomendacji, w tym jej opis, szczegóły ujawnionego zasobu i inne istotne zalecenia
  • Kroki korygowania: Wskazówki umożliwiające podjęcie działań w celu rozwiązania problemu z zabezpieczeniami
  • Podgląd mapy: wyświetla wszystkie powiązane ścieżki ataków przechodzące przez zasób zagregowany według typu węzła docelowego. Można:
    • Kliknij zagregowaną ścieżkę, aby wyświetlić wszystkie powiązane ścieżki ataku oraz dodatkowe ścieżki
    • Wybierz określoną ścieżkę, aby wyświetlić jego szczegółową wizualizację
  • Powiązane inicjatywy: Inicjatywy w zakresie zabezpieczeń i struktury zgodności skojarzone z zaleceniem
  • Dodatkowe karty mogą być wyświetlane dla konkretnych zaleceń z odpowiednimi informacjami kontekstowymi

Widok tytułu rekomendacji

Ten widok agreguje zalecenia według tytułu, przedstawiając skonsolidowaną listę uporządkowaną według poziomu ryzyka. Każdy wiersz reprezentuje wszystkie wystąpienia konkretnej rekomendacji w danym środowisku.

Po wybraniu zagregowanego wiersza rekomendacji zostanie wyświetlony panel boczny:

  • Omówienie: Ogólne informacje, w tym opis rekomendacji, dystrybucja na poziomie ryzyka wśród dotkniętych zasobów, stan zarządzania i inne istotne szczegóły
  • Kroki korygowania: Wskazówki umożliwiające podjęcie działań w celu rozwiązania problemu z zabezpieczeniami
  • Ujawnione zasoby: lista wszystkich zasobów, których dotyczy to zalecenie
  • Powiązane inicjatywy: Inicjatywy w zakresie zabezpieczeń i struktury zgodności skojarzone z zaleceniem
  • Dodatkowe karty mogą być wyświetlane dla konkretnych zaleceń z odpowiednimi informacjami kontekstowymi

Zrzut ekranu przedstawiający okienko boczne zaleceń.

Alternatywne ścieżki dostępu do zaleceń:

  • Infrastruktura chmury>Przegląd>Pozycja zabezpieczeń>Zalecenia dotyczące> zabezpieczeńWyświetl zalecenia
  • Zarządzanie zagrożeniami>Inicjatywy>Bezpieczeństwo w chmurze>Otwórz stronę>Karta 'Zalecenia dotyczące zabezpieczeń'

Uwaga / Notatka

Dlaczego mogą występować różnice w zasobach między portalem Azure a portalem Defender:

  • Usunięte zasoby: możesz zauważyć, że usunięte zasoby nadal są wyświetlane w witrynie Azure Portal. Dzieje się tak, ponieważ w witrynie Azure Portal jest obecnie wyświetlany ostatni znany stan zasobów. Pracujemy nad rozwiązaniem tego problemu, aby usunięte zasoby nie zostały już wyświetlone.
  • Zasoby usługi Azure Policy: niektóre zasoby pochodzące z usługi Azure Policy mogą nie być wyświetlane w portalu usługi Defender. Podczas wersji zapoznawczej wyświetlamy tylko zasoby, które mają kontekst bezpieczeństwa i przyczyniają się do tworzenia istotnych informacji o zabezpieczeniach.
  • Zasoby powiązane z bezpłatnymi subskrypcjami nie są obecnie wyświetlane w portalu usługi Defender.

Opis priorytetyzacji ryzyka w portalu usługi Defender

Środowisko zarządzania ekspozycjami w portalu Defender zapewnia zaawansowane możliwości określania priorytetów ryzyka, które pomagają zespołom ds. zabezpieczeń skupić się na najbardziej krytycznych zagrożeniach. Aparat dynamicznej oceny ryzyka w usłudze Microsoft Defender for Cloud ocenia czynniki ryzyka w danym środowisku, biorąc pod uwagę potencjał wykorzystania i potencjalny wpływ biznesowy na organizację.

Rekomendacje w portalu usługi Defender są automatycznie priorytetowe na podstawie efektywnego ryzyka, co uwzględnia wiele kontekstowych czynników dotyczących każdego zasobu i jego środowiska. Takie podejście oparte na ryzyku zapewnia, że zespoły ds. zabezpieczeń mogą najpierw rozwiązywać najważniejsze problemy z zabezpieczeniami, co sprawia, że wysiłki korygujące będą wydajniejsze i skuteczne.

Filtrowanie i priorytetyzacja oparta na ryzyku

Portal usługi Defender oferuje zaawansowane funkcje filtrowania, które umożliwiają skoncentrowanie się na rekomendacjach opartych na czynnikach ryzyka:

  • Uwidocznione zasoby: filtruj według zasobów, które mają bezpośrednie narażenie na zagrożenia, takie jak zasoby dostępne z Internetu lub zasoby z konfiguracjami podatnymi na zagrożenia
  • Czynniki ryzyka związanego z zasobami: określanie określonych warunków ryzyka, takich jak wrażliwość danych, potencjalny ruch poprzeczny lub narażenie na krytyczne narażenie na infrastrukturę
  • Podział na poziomie ryzyka: wyświetlanie zaleceń podzielonych na kategorie Krytyczne, Wysokie, Średnie i Niskie ryzyko
  • Integracja ścieżki ataku: skup się na zaleceniach, które są częścią zidentyfikowanych ścieżek ataków

Obliczanie ryzyka w usłudze Exposure Management

Doświadczenie zintegrowanego zarządzania ekspozycją oblicza poziomy ryzyka, wykorzystując silnik zrozumienia kontekstu, który uwzględnia:

  • Kontekst środowiska: konfiguracja zasobów, topologia sieci i stan zabezpieczeń
  • Czynniki wykorzystujące luki w zabezpieczeniach: jak łatwo osoba atakująca może wykorzystać tę lukę w zabezpieczeniach
  • Wpływ biznesowy: potencjalne konsekwencje wykorzystania problemu zabezpieczeń
  • Powierzchnia ataków: narażenie zasobu na potencjalne zagrożenia
  • Analiza punktów zatorowych: czy zasób działa jako krytyczne połączenie w potencjalnych ścieżkach ataku

Poziomy ryzyka w portalu usługi Defender

Zalecenia w portalu usługi Defender są klasyfikowane na pięć poziomów ryzyka:

  • Krytyczne: Najpoważniejsze problemy z zabezpieczeniami związane z bezpośrednim wykorzystaniem i dużym wpływem biznesowym, które wymagają pilnej uwagi
  • Wysoki: istotne zagrożenia bezpieczeństwa, które powinny zostać szybko rozwiązane, ale mogą nie wymagać natychmiastowego działania
  • Średni: Umiarkowane problemy z zabezpieczeniami, które można rozwiązać w ramach regularnej konserwacji zabezpieczeń
  • Niski: Drobne problemy zabezpieczeń, które można rozwiązać w dogodnym dla Ciebie momencie w trakcie rutynowych operacji
  • Nie oceniono: Rekomendacje, które nie zostały ocenione pod kątem ryzyka, zazwyczaj z powodu ograniczeń pokrycia zasobów

Szczegóły rozszerzonych rekomendacji

Każde zalecenie w portalu usługi Defender zapewnia kompleksowy kontekst ryzyka:

  • Podsumowanie oceny ryzyka: Ogólne obliczenie ryzyka i czynniki przyczyniające się do
  • Mapowanie powierzchni ataków: wizualna reprezentacja sposobu, w jaki zasób odnosi się do potencjalnych scenariuszy ataku
  • Korelacja inicjatywy: Połączenie z szerszymi inicjatywami zabezpieczeń i strukturami zgodności
  • Powiązania CVE: Linki do odpowiednich Common Vulnerabilities and Exposures, gdzie to ma zastosowanie
  • Kontekst historyczny: Trendy i zmiany w poziomach ryzyka w czasie

Na stronie rekomendacji przejrzyj następujące szczegóły:

  • Poziom ryzyka: luka w zabezpieczeniach i wpływ biznesowy podstawowego problemu z zabezpieczeniami, biorąc pod uwagę kontekst zasobów środowiskowych, taki jak ekspozycja internetowa, poufne dane, ruch boczny i nie tylko.
  • Czynniki ryzyka: Czynniki środowiskowe zasobu, na które wpływają zalecenia, co wpływa na podatność i wpływ na działalność biznesową podstawowego problemu z zabezpieczeniami. Przykłady czynników ryzyka obejmują narażenie na internet, poufne dane i potencjalny ruch poprzeczny.
  • Zasób: nazwa zasobu, którego dotyczy problem.
  • Stan: stan zalecenia, takie jak nieprzypisany, terminowe lub zaległe.
  • Opis: krótki opis problemu z zabezpieczeniami.
  • Ścieżki ataków: liczba ścieżek ataku.
  • Zakres: subskrypcja lub zasób, którego dotyczy problem.
  • Świeżość: interwał świeżości zalecenia.
  • Data ostatniej zmiany: data ostatniej zmiany tego zalecenia.
  • Ważność: ważność zalecenia: Wysoki, Średni lub Niski. Więcej szczegółów znajduje się w dalszej części tego artykułu.
  • Właściciel: osoba przypisana do rekomendacji.
  • Data ukończenia: przypisana data rozwiązania zalecenia.
  • Taktyki i techniki: Taktyki i techniki powiązane z MITRE ATT&CK.

Eksplorowanie rekomendacji

Możesz korzystać z rekomendacji na wiele sposobów. Jeśli opcja jest niedostępna, oznacza to, że nie jest to istotne dla zalecenia.

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Defender for Cloud>Zalecenia.

  3. Wybierz zalecenie.

  4. W Wykonaj akcję:

    • Korygowanie: opis ręcznych kroków wymaganych do rozwiązania problemu z zabezpieczeniami w zasobach, których dotyczy problem. W przypadku zaleceń z opcją Napraw możesz wybrać pozycję Wyświetl logikę korygowania przed zastosowaniem sugerowanej poprawki do zasobów.
    • Właściciel rekomendacji i ustalony termin: jeśli włączysz regułę nadzoru dla zalecenia, możesz przypisać właściciela i termin.
    • Wyklucz: możesz wykluczyć zasoby z zalecenia lub wyłączyć określone wyniki przy użyciu reguł wyłączania.
    • Automatyzacja przepływu pracy: ustaw aplikację logiczną, aby uruchomić ją na podstawie zalecenia.

    Zrzut ekranu pokazujący, co można zobaczyć w rekomendacji po wybraniu karty Podejmij akcję.

  5. W obszarze Wyniki możesz przejrzeć powiązane ustalenia według ważności.

    Zrzut ekranu przedstawiający kartę wyników w rekomendacji, w tym wszystkie ścieżki ataku dla tego zalecenia.

  6. W programie Graph można wyświetlać i badać cały kontekst używany do priorytetyzacji ryzyka, w tym ścieżki ataków. Możesz wybrać węzeł w ścieżce ataku, aby wyświetlić szczegóły wybranego węzła.

    Zrzut ekranu przedstawiający kartę Grafu w rekomendacji, w tym wszystkie ścieżki ataków dla tego zalecenia.

  7. Aby wyświetlić więcej szczegółów, wybierz węzeł.

    Zrzut ekranu przedstawiający kartę Grafu z wybranym węzłem z wyświetlonymi dodatkowymi szczegółami.

  8. Wybierz pozycję Insights.

  9. Aby wyświetlić szczegóły, wybierz lukę w zabezpieczeniach z menu rozwijanego.

    Zrzut ekranu przedstawiający kartę Szczegółowe informacje dla węzła.

  10. (Opcjonalnie) Aby wyświetlić skojarzoną stronę rekomendacji, wybierz Otwórz stronę podatności.

  11. Koryguj zalecenie.

W portalu usługi Defender można korzystać z rekomendacji na wiele sposobów za pośrednictwem środowiska zarządzania ekspozycjami. Po wybraniu rekomendacji z zakładki Zarządzanie Ekspozycjami>Zalecenia>Chmury możesz zapoznać się ze szczegółowymi informacjami i podjąć działania.

Zastosuj filtry i zestawy filtrów, takie jak uwidoczniony zasób, czynniki ryzyka zasobów, środowisko, obciążenie, dojrzałość rekomendacji i inne.

W okienku nawigacji po lewej stronie możesz wyświetlić wszystkie zalecenia lub wyświetlić według określonej kategorii.

Istnieją oddzielne widoki typów problemów:

  • Błędy konfiguracji
  • Luki
  • Ujawnione tajemnice

Dla każdego widoku zobaczysz wskaźnik bezpieczeństwa chmury, historię oceny, rekomendację według poziomu ryzyka i sposób obliczania ryzyka.

Uwaga / Notatka

W portalu usługi Defender niektóre zalecenia, które wcześniej były wyświetlane jako pojedynczy zagregowany element, są teraz wyświetlane jako wiele indywidualnych zaleceń. Ta zmiana odzwierciedla zmianę od grupowania powiązanych wyników w ramach jednego zalecenia w celu oddzielnego wyświetlania listy poszczególnych rekomendacji.

  • Możesz zauważyć dłuższą listę zaleceń w porównaniu z poprzednimi. Połączone wyniki (takie jak luki w zabezpieczeniach, ujawnione wpisy tajne lub błędne konfiguracje) są teraz wyświetlane indywidualnie, a nie zagnieżdżone w ramach rekomendacji nadrzędnej.
  • Stare pogrupowane rekomendacje nadal pojawiają się obok nowego formatu, ale ostatecznie zostaną wycofane.
  • Te zalecenia są oznaczone jako wersja zapoznawcza. Ten tag wskazuje, że zalecenie jest w stanie wczesnym i nie ma jeszcze wpływu na wskaźnik bezpieczeństwa.
  • Wskaźnik bezpieczeństwa ma obecnie zastosowanie tylko do rekomendacji nadrzędnej, a nie do każdego pojedynczego elementu.

Jeśli zobaczysz oba formaty lub zalecenia z tagiem Wersja zapoznawcza, jest to oczekiwane podczas przejścia. Celem jest zwiększenie przejrzystości i umożliwienie klientom łatwiejszego działania na podstawie konkretnych zaleceń.

Dzięki integracji usługi Defender for Cloud w portalu usługi Defender można również uzyskać dostęp do rozszerzonych zaleceń dotyczących chmury za pomocą ujednoliconego interfejsu:

Najważniejsze ulepszenia w środowisku zaleceń dotyczących chmury obejmują:

  • Czynniki ryzyka dla zasobów: Oceniaj szerszy kontekst ekspozycji każdej rekomendacji, aby podejmować świadome decyzje
  • Ocenianie oparte na ryzyku: Nowe ocenianie, które waży zalecenia na podstawie ważności, kontekstu zasobów i potencjalnego wpływu
  • Rozszerzone dane: podstawowe dane rekomendacji z Azure Recommendations wzbogacone o dodatkowe pola i możliwości z Exposure Management
  • Uszeregowane według krytyczności: większy nacisk na problemy krytyczne, które stanowią największe ryzyko dla twojej organizacji

Ujednolicone środowisko zapewnia, że te rekomendacje dotyczące zabezpieczeń w chmurze są umieszczone w kontekście szerszego krajobrazu zabezpieczeń, co umożliwia bardziej świadome podejmowanie decyzji i wydajne przepływy pracy dotyczące korygowania.

Grupuj rekomendacje według tytułu

Rekomendacje można grupować według tytułu na stronie rekomendacji usługi Defender for Cloud. Ta funkcja jest przydatna, gdy chcesz skorygować zalecenie, które ma wpływ na wiele zasobów z powodu określonego problemu z zabezpieczeniami.

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Defender for Cloud>Zalecenia.

  3. Wybierz Grupuj według tytułu.

    Zrzut ekranu ze strony rekomendacji, pokazujący lokalizację przełącznika Grupuj według tytułu.

Zarządzanie przypisanymi zaleceniami

Usługa Defender for Cloud obsługuje zasady zarządzania dla zaleceń. Możesz przypisać właściciela rekomendacji oraz termin realizacji. Możesz pomóc w zapewnieniu rozliczalności, używając reguł ładu, które również wspierają umowę dotyczącą poziomu usług (SLA) dla zaleceń.

  • Rekomendacje są wyświetlane jako W czasie, dopóki ich termin nie minie. Następnie zmieniają się na Zaległe.
  • Jeśli zalecenie nie jest klasyfikowane jako Zaległe, nie ma wpływu na wskaźnik bezpieczeństwa firmy Microsoft.
  • Możesz również zastosować okres prolongaty, aby rekomendacje zaległe nie miały wpływu na wskaźnik bezpieczeństwa.

Dowiedz się więcej na temat tego, jak skonfigurować reguły zarządzania.

Aby wyświetlić wszystkie przypisane Ci zalecenia:

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Defender for Cloud>Zalecenia.

  3. Wybierz Dodaj filtr>Właściciel.

  4. Wybierz wpis użytkownika.

  5. Wybierz i zastosuj.

  6. W wynikach zaleceń przejrzyj rekomendacje, w tym zasoby objęte działaniem, czynniki ryzyka, ścieżki ataków, terminy realizacji i status.

  7. Wybierz zalecenie, aby przejrzeć je dalej.

Aby wprowadzić zmiany w zadaniu, wykonaj następujące kroki:

  1. Przejdź do Działaj>Zmiana właściciela i terminu.

  2. Wybierz Edytuj zadanie, aby zmienić właściciela rekomendacji lub datę zakończenia.

  3. Jeśli wybierzesz nową datę korygowania, określ, dlaczego korygowanie powinno zostać ukończone do tej daty w polu Uzasadnienie.   

  4. Wybierz Zapisz.

    Uwaga / Notatka

    Gdy zmienisz oczekiwaną datę ukończenia, termin realizacji zalecenia nie ulegnie zmianie, ale partnerzy zabezpieczeń mogą zobaczyć, że planujesz zaktualizować zasoby do określonej daty.

Domyślnie właściciel zasobu otrzymuje cotygodniową wiadomość e-mail zawierającą wszystkie przypisane do nich zalecenia.

Możesz również użyć opcji Ustaw powiadomienia e-mail , aby:

  • Zastąp domyślną cotygodniową wiadomość e-mail do właściciela.
  • Powiadamianie właścicieli co tydzień o liście otwartych lub zaległych zadań.
  • Powiadom menedżera bezpośredniego właściciela o otwartej liście zadań.

Przeglądanie zaleceń w usłudze Azure Resource Graph

Za pomocą usługi Azure Resource Graph możesz napisać zapytanie języka KQL (Kusto Query Language) w celu wykonywania zapytań dotyczących danych stanu zabezpieczeń usługi Defender for Cloud w wielu subskrypcjach. Usługa Azure Resource Graph zapewnia wydajny sposób wykonywania zapytań na dużą skalę w różnych środowiskach chmury przez wyświetlanie, filtrowanie, grupowanie i sortowanie danych.

  1. Zaloguj się do witryny Azure Portal.

  2. Przejdź do Defender for Cloud>Zalecenia.

  3. Wybierz zalecenie.

  4. Wybierz pozycję Otwarte zapytanie.

  5. Zapytanie można otworzyć na jeden z dwóch sposobów:

    • Zapytanie zwracające zasób, którego dotyczy: zwraca listę wszystkich zasobów, na które wpływa zalecenie.
    • Zapytanie zwracające wyniki zabezpieczeń: zwraca listę wszystkich problemów z zabezpieczeniami znalezionych przez zalecenie.

  6. Wybierz pozycję Uruchom zapytanie.

    Zrzut ekranu przedstawiający Eksplorator usługi Azure Resource Graph z zaleceniami wynikającymi z poprzedniego zrzutu ekranu.

  7. Przejrzyj wyniki.

Jak są klasyfikowane rekomendacje?

Każde zalecenie dotyczące zabezpieczeń usługi Defender for Cloud ma jedną z trzech ocen ważności.

Wysoka ważność

Zalecamy natychmiastowe rozwiązanie tych zaleceń. Wskazują one, że istnieje krytyczna luka w zabezpieczeniach, którą osoba atakująca może wykorzystać w celu uzyskania nieautoryzowanego dostępu do systemów lub danych.

Przykłady zaleceń o wysokiej ważności obejmują:

  • Niechronione tajemnice na komputerze.
  • Nadmiernie łagodne reguły w grupie zabezpieczeń sieciowych dla ruchu przychodzącego.
  • Klastry, które umożliwiają wdrażanie obrazów z niezaufanych rejestrów.
  • Nieograniczony publiczny dostęp do kont przechowywania lub baz danych.

Średnia ważność

Te zalecenia wskazują potencjalne zagrożenie bezpieczeństwa. Zalecamy odniesienie się do tych zaleceń w odpowiednim czasie, ale mogą nie wymagać natychmiastowej uwagi.

Przykłady zaleceń o średniej ważności obejmują:

  • Kontenery współużytkujące poufne przestrzenie nazw hostów.
  • Aplikacje internetowe, które nie korzystają z tożsamości zarządzanych.
  • Maszyny z systemem Linux, które nie wymagają kluczy SSH podczas uwierzytelniania.
  • Nieużywane poświadczenia pozostawione w systemie po upływie 90 dni braku aktywności.

Niska ważność

Te zalecenia wskazują na stosunkowo niewielki problem z zabezpieczeniami, który można rozwiązać dla Twojej wygody.

Przykłady zaleceń o niskiej ważności obejmują:

  • Użycie uwierzytelniania lokalnego zamiast identyfikatora Entra firmy Microsoft.
  • Problemy zdrowotne z rozwiązaniem ochrony punktu końcowego.
  • Użytkownicy nie przestrzegają najlepszych rozwiązań dotyczących sieciowych grup zabezpieczeń.
  • Nieprawidłowo skonfigurowane ustawienia rejestrowania, co może utrudnić wykrywanie zdarzeń zabezpieczeń i reagowanie na nie.

Wewnętrzne zasady organizacji mogą różnić się od klasyfikacji określonej rekomendacji przez firmę Microsoft. Zalecamy, aby zawsze uważnie przejrzeć każde zalecenie i rozważyć jego potencjalny wpływ na pozycję bezpieczeństwa przed podjęciem decyzji, jak je zaadresować.

Uwaga / Notatka

Klienci usługi Defender CSPM mają dostęp do bogatszego systemu klasyfikacji, w którym rekomendacje zawierają określenie poziomu ryzyka , które wykorzystuje kontekst zasobu i wszystkich powiązanych zasobów. Dowiedz się więcej na temat priorytetyzacji ryzyka i szczegółowych wskazówek w sekcjach priorytetyzacji ryzyka powyżej.

Przykład

W tym przykładzie strona Szczegóły zalecenia zawiera 15 zasobów, których dotyczy problem:

Zrzut ekranu przedstawiający przycisk Otwórz zapytanie na stronie Szczegóły zalecenia.

Po otwarciu i uruchomieniu zapytania bazowego eksplorator usługi Azure Resource Graph zwraca te same zasoby, których dotyczy to zalecenie.

Treści powiązane

  • Last updated on