Compartilhar via

Rever e classificar recursos críticos

Gerenciamento de Exposição da Segurança da Microsoft mantém os seus recursos críticos para a empresa seguros e disponíveis. Os recursos críticos ajudam a equipa do SOC a priorizar os esforços para melhorar a postura de segurança da organização. Concentrar-se em recursos críticos garante que os recursos mais importantes estão protegidos contra o risco de violações de dados e perturbações operacionais. Este artigo descreve como trabalhar com recursos críticos.

Criticidade do recurso

A importância do ativo é uma medida da importância de um recurso para as operações e a postura de segurança da sua organização. Reflete uma combinação da sua função cibernética, contexto de produção e sistema ou subsistema.

Captura de ecrã a mostrar um fluxograma que mostra a importância do recurso.

Os recursos são categorizados em quatro níveis de criticidade:

  • Muito Elevado – os ativos de importância muito elevada são essenciais para a sobrevivência e continuidade do seu negócio. O seu compromisso pode resultar em consequências catastróficas.
  • Elevado – os recursos de elevada criticidade são cruciais para as operações principais da sua organização. O seu compromisso pode levar a perturbações significativas.
  • Os recursos médios - de criticidade média têm um impacto moderado e podem afetar determinadas funções ou processos.
  • Baixo – os recursos de baixa criticidade têm um impacto mínimo nas operações empresariais e na segurança se forem comprometidos.

Captura de ecrã do diagrama de níveis de criticidade.

Compreender e categorizar recursos com base na sua criticidade ajuda a priorizar os esforços de segurança e garante que os recursos mais importantes recebem o nível mais elevado de proteção.

A análise de impacto e a análise de jóias da coroa são metodologias essenciais para identificar e priorizar recursos críticos. O Instituto Nacional de Normas e Tecnologia (NIST) fornece orientações para a análise de criticidade, que podem ser encontradas no IR NIST 8179.

O NIST Cybersecurity Framework (CSF) 800-53 também realça orientações para gestão de recursos e análise de criticidade, conforme descrito em ID.AM-05, que pode ser encontrado em: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.

Observação

Quando são aplicadas várias regras de classificação a um recurso, a regra com o nível de criticidade mais elevado tem precedência. Esta classificação permanece em vigor até que o recurso deixe de cumprir os critérios dessa regra, altura em que será automaticamente reverter para o próximo nível de classificação aplicável.

Pré-requisitos

Antes de começar, certifique-se de que cumpre os seguintes requisitos para trabalhar com recursos críticos no Gerenciamento de Exposição da Segurança da Microsoft.

  • Antes de começar, saiba mais sobre a gestão crítica de recursos na Gestão de Exposição.
  • Reveja as permissões necessárias para trabalhar com recursos críticos.
  • Para que a telemetria de segurança suporte casos de utilização do MSEM, os pontos finais têm de estar a executar a versão 10.3740.XXXX ou posterior do agente Microsoft Defender para Ponto de Extremidade. Recomendamos que utilize a versão mais recente do agente, conforme listado na página Novidades do Defender para Endpoint.

Pode marcar qual a versão do agente que um dispositivo está a executar da seguinte forma:

  • Num dispositivo específico, navegue para o ficheiro MsSense.exe em C:\Programas\Proteção Avançada Contra Ameaças do Windows Defender. Clique com o botão direito do rato no ficheiro e selecione Propriedades. No separador Detalhes, marcar a versão do ficheiro.

  • Para vários dispositivos, é mais fácil executar uma consulta Kusto de investigação avançada para marcar versões do sensor de dispositivos, da seguinte forma:

    DeviceInfo | project DeviceName, ClientVersion

Rever recursos críticos

Reveja os recursos críticos da seguinte forma.

  1. No portal Microsoft Defender, selecione Definições Microsoft XDR Rules Critical asset management (Gestão de recursos críticos > das Regras > XDR > da Microsoft).

  2. Na página Gestão de recursos críticos , reveja as classificações de recursos críticos predefinidas e personalizadas, incluindo o número de recursos na classificação, se os recursos estão ativados ou desativados e os níveis de criticidade.

    Captura de ecrã da janela Gestão de recursos críticos.

Observação

Também pode ver recursos críticos em Recursos Dispositivos >>Classificar recurso crítico. Além disso, pode ver a iniciativa Critical Asset Protection em Informações de exposição –> Iniciativas.

Pedir uma nova classificação predefinida

Sugerir uma nova classificação às nossas equipas de investigação e desenvolvimento ajuda a expandir as nossas deteções completas para incluir classificações e funções que podem ser aplicadas em todo o ecossistema. Isto melhora consideravelmente o produto e a Microsoft faz todo o trabalho.

Peça uma nova classificação predefinida da seguinte forma:

  1. Na página Gestão de recursos críticos , selecione Sugerir nova classificação.
  2. Preencha a classificação que pretende ver e, em seguida, selecione Submeter pedido.

Criar uma classificação personalizada

As classificações personalizadas permitem-lhe ajustar a lógica de atribuição de funções e o nível de criticidade para se alinhar com a política de criticidade da sua organização. Por exemplo, classifique recursos numa rede específica ou tipos de recursos que devem ter um nível de criticidade diferente do predefinido.

Crie uma classificação personalizada da seguinte forma:

  1. Na página Gestão de recursos críticos , selecione Criar uma nova classificação.

  2. Na página Criar uma classificação de recursos críticos , preencha as seguintes informações para definir os critérios de classificação:

    • Nome – um novo nome de classificação.
    • Descrição – uma nova descrição de classificação.
    • Construtor de consultas
      • Utilize o construtor de consultas para definir uma nova classificação, por exemplo, "marcar todos os dispositivos com uma determinada convenção de nomenclatura como críticos".
      • Adicione um ou mais filtros booleanos definidos por dispositivo, identidade ou recurso da cloud.

    Captura de ecrã da página onde cria classificações de recursos críticas.

  3. Depois de definir os critérios, selecione Seguinte.

  4. Nas páginas seguintes, pré-visualize os recursos afetados e atribua o nível de criticidade.

Observação

No portal do Microsoft Defender, ao criar uma nova classificação de Recurso Crítico personalizado, o construtor de consultas só suporta grupos do Active Directory (AD) para regras baseadas em identidades. Atualmente, Microsoft Entra grupos de ID não são suportados.

Definir níveis de ativos críticos

Defina os níveis da seguinte forma.

  1. Na página Gestão de recursos críticos , selecione uma classificação de recursos crítica.

  2. No separador Descrição geral , selecione o nível de criticidade pretendido.

  3. Selecione Salvar.

    Captura de ecrã a mostrar a funcionalidade de edição criticality da gestão de recursos críticos.

Observação

Pode definir níveis críticos manualmente no inventário de dispositivos. Recomendamos a criação de regras de criticidade que permitam uma aplicação abrangente de níveis críticos entre recursos.

Editar classificações personalizadas

Edite classificações personalizadas da seguinte forma.

  1. Na página Gestão de recursos críticos , navegue para a classificação que pretende modificar. Apenas as classificações personalizadas podem ser editadas ou eliminadas.
  2. Selecione Editar, Eliminar ou Desativar.

Adicionar recursos a classificações predefinidas

  1. Na página Gestão de recursos críticos , selecione a classificação de recursos relevante. A coluna Aprovação Pendente ajuda a localizar classificações com recursos que não cumpriram o limiar de classificação automática e exigem a aprovação do utilizador.

    Captura de ecrã a mostrar as classificações predefinidas na interface de gestão de recursos.

  2. Para ver todos os recursos na classificação que são atualmente considerados críticos, selecione o separador Recursos .

  3. Para aprovar recursos que se ajustem à classificação, mas que estão fora do limiar, navegue para Aprovação Pendente.

  4. Reveja os recursos listados. Selecione o botão de adição junto aos recursos que pretende adicionar.

    Observação

    A Aprovação Pendente só é apresentada quando existem recursos a rever.

    Captura de ecrã do separador aprovação pendente na gestão de recursos.

Pode alterar os níveis de criticidade e desativar a classificação para todos os recursos. Também pode editar e eliminar recursos críticos personalizados.

Remover recursos aprovados de classificações predefinidas

  1. Na página Gestão de recursos críticos , selecione a classificação de recursos relevante.

  2. Para ver todos os recursos na classificação que são atualmente considerados críticos, selecione o separador Recursos .

  3. Selecione o X junto aos recursos que pretende remover.

    Captura de ecrã a mostrar o separador recursos na gestão de recursos.

Ordenar por criticidade

  1. Selecione Dispositivos no Inventário de Dispositivos.

  2. Ordene por nível de Criticality para ver os recursos críticos para a empresa com um nível de criticidade "muito elevado".

    Captura de ecrã da janela Inventário de dispositivos a mostrar a ordenação de criticidade.

Priorizar recomendações para recursos críticos

Para ajudar a priorizar as recomendações de segurança e os passos de remediação para se concentrar em recursos críticos, a soma dos recursos críticos expostos para uma recomendação pode ser visualizada na página Recomendações de segurança no portal do Microsoft Defender.

Para ver a soma dos recursos críticos expostos, aceda à página Recomendações de segurança :

Captura de ecrã da coluna recursos críticos na página de recomendações de segurança.

Próximas etapas

Saiba mais sobre a simulação de caminhos de ataque.

  • Last updated on