通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

识别和修正攻击路径

Defender for Cloud 使用专有算法查找特定于你的多云环境的潜在攻击路径。 Defender for Cloud 侧重于实际、外部驱动和可利用的威胁,而不是广泛的方案。 该算法可检测从组织外部开始的攻击路径,并进展到业务关键型目标,帮助你降低干扰并更快地采取行动。

可以使用攻击路径分析功能解决在环境中构成直接威胁、最有可能被利用的安全问题。 Defender for Cloud 分析哪些安全问题是攻击者可用于破坏环境的外部公开攻击路径的一部分。 它还会突出显示为缓解这些问题而需要解决的安全建议。

默认情况下,攻击路径按风险级别进行排列。 风险级别由上下文感知的风险优先级引擎确定,该引擎会考虑每个资源的风险因素。 详细了解 Defender for Cloud 如何确定安全建议的优先级

注释

此功能目前以预览版提供。
有关当前差距和限制的详细信息,请参阅 已知限制

先决条件

注释

你可能会看到一个空的攻击路径页面,因为攻击路径现在侧重于真正的、外部驱动的和可被利用的威胁,而不是广泛的场景。 这有助于降低噪音并确定迫在眉睫的风险的优先级。

若要查看与容器相关的攻击路径,请执行以下操作

  • 必须在 Defender CSPM 中启用无代理容器状况扩展,或者

  • 可以启用 Defender for Containers,并安装相关代理,以查看与容器相关的攻击路径。 这也使你能够在安全资源管理器中查询容器数据平面工作负载。

  • 所需的角色和权限:安全读取者、安全管理员、读取者、参与者或所有者。

识别攻击路径

可使用攻击路径分析功能查找环境的最大风险并对其进行修正。

攻击路径页显示所有攻击路径的概述。 你还可以查看受影响的资源和活跃攻击路径列表。

示例攻击路径主页的屏幕截图。

若要在 Azure 门户中识别攻击路径,请执行以下作:

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“攻击路径分析”。

    屏幕截图显示了主屏幕上的“攻击路径分析”页。

  3. 选择攻击路径。

  4. 选择节点。

    攻击路径屏幕的屏幕截图,其中显示了可供选择的节点的位置。

    注释

    如果拥有有限权限(尤其是跨订阅),则可能看不到完整的攻击路径详细信息。 这是旨在保护敏感数据的预期行为。 若要查看所有详细信息,请确保拥有所需的权限。

  5. 选择“见解”以查看该节点的相关见解。

    特定节点的“见解”选项卡的屏幕截图。

  6. 选择“建议”。

    屏幕截图显示在屏幕上的何处选择建议。

  7. 选择一条建议。

  8. 修正建议

若要在 Defender 门户中识别攻击路径,请执行以下作:

  1. 登录到Microsoft Defender门户

  2. 导航到 暴露管理>攻击面>攻击路径。 你将看到攻击路径的概述。

    攻击路径体验提供多个视图:

    • 概述选项卡:查看一段时间内的攻击路径、前 5 个窒息点、前 5 个攻击路径方案、热门目标以及顶部入口点
    • 攻击路径列表:具有高级筛选功能的所有攻击路径的动态、可筛选视图
    • 阻塞点:多个攻击路径聚合的节点列表,标记为高风险瓶颈

    显示 Defender 门户中攻击路径概述的屏幕截图。

注释

在 Defender 门户中,攻击路径分析是更广泛的曝光管理功能的一部分,提供与其他Microsoft安全解决方案和统一事件相关性的增强集成。

  1. 选择“ 攻击路径 ”选项卡。

    显示 Defender 门户中的攻击路径页的屏幕截图。

  2. 使用攻击路径列表中的高级筛选专注于特定的攻击路径:

    • 风险级别:按高、中或低风险攻击路径进行筛选
    • 资产类型:关注特定资源类型
    • 修正状态:查看已解决、正在进行或待处理的攻击路径
    • 时间范围:按特定时间段进行筛选(例如,过去 30 天)

  3. 选择攻击路径以查看攻击路径图,这是一种图形化视图,突出显示了:

    • 易受攻击的节点:存在安全问题的资源
    • 入口点:攻击可能开始的外部接入点
    • 目标资产:攻击者试图访问的关键资源
    • 窒息点:多个攻击路径相交的收敛点

  4. 选择一个节点来调查详细信息:

    Defender 门户中攻击路径屏幕的屏幕截图,其中显示了节点选择。

    注释

    如果拥有有限权限(尤其是跨订阅),则可能看不到完整的攻击路径详细信息。 这是旨在保护敏感数据的预期行为。 若要查看所有详细信息,请确保拥有所需的权限。

  5. 查看节点详细信息,包括:

    • MITRE ATT&CK 策略和技术:了解攻击方法
    • 风险因素:导致风险的环境因素
    • 相关建议:缓解问题的安全性改进

  6. 选择“见解”以查看该节点的相关见解。

  7. 选择 “建议” 以查看具有修正状态跟踪的可操作指南。

    显示在 Defender 门户中选择建议的位置的屏幕截图。

  8. 选择一条建议。 完成攻击路径调查并查看所有相关发现和建议后,即可开始修正攻击路径。

  9. 修正建议

解决攻击路径后,可能需要 24 小时才能从列表中移除该路径。

修正攻击路径

完成攻击路径调查并查看所有相关发现和建议后,即可开始修正攻击路径。

若要在 Azure 门户中修正攻击路径,请执行以下作:

  1. 导航到“Microsoft Defender for Cloud”>“攻击路径分析”。

  2. 选择攻击路径。

  3. 选择“修正”

    攻击路径的屏幕截图,其中显示了在何处选择修正。

  4. 选择一条建议。

  5. 修正建议

解决攻击路径后,可能需要 24 小时才能从列表中移除该路径。

修正攻击路径中的所有建议

使用“攻击路径分析”功能可以按攻击路径查看所有建议,而无需单独检查每个节点。 无需单独查看每个节点即可解决所有建议。

修正路径包含两种类型的建议:

  • 建议 - 可缓解攻击路径的建议。
  • 其他建议 - 降低攻击风险但不会缓解攻击路径的建议。

若要解决 Azure 门户中的所有建议,请执行以下作:

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“攻击路径分析”。

  3. 选择攻击路径。

  4. 选择“修正”

    屏幕截图显示在屏幕上的何处进行选择来查看攻击路径完整建议列表。

  5. 展开“其他建议”

  6. 选择一条建议。

  7. 修正建议

解决攻击路径后,可能需要 24 小时才能从列表中移除该路径。

若要解决 Defender 门户中的所有建议,请执行以下步骤:

  1. 登录到Microsoft Defender门户

  2. 导航到 曝光管理>攻击路径分析

  3. 选择攻击路径。

  4. 选择“修正”

    注释

    Defender 门户提供对修复进度的增强跟踪,并且可以将修复活动与安全操作和事件管理的更广泛工作流相关联。

  5. 展开“其他建议”

  6. 选择一条建议。

  7. 修正建议

解决攻击路径后,可能需要 24 小时才能从列表中移除该路径。

增强的曝光管理功能

Defender 门户通过其集成的曝光管理框架提供攻击路径分析的其他功能:

  • 统一事件关联:攻击路径与Microsoft安全生态系统中的安全事件自动关联。
  • 跨产品见解:攻击路径数据与来自 Microsoft Defender for Endpoint、Microsoft Sentinel 和其他Microsoft安全解决方案的发现集成。
  • 高级威胁智能:从微软威胁情报源提供增强的背景信息,以更好地了解攻击模式和攻击者行为。
  • 集成修正工作流:简化的修正过程,可跨多个安全工具触发自动响应。
  • 执行报告:增强的报告功能,用于安全领导以及业务影响评估。

这些功能提供对安全状况的更全面视图,并能够更有效地应对通过攻击路径分析识别的潜在威胁。

详细了解 Defender for Cloud 中的 攻击路径

下一步

使用云安全资源管理器生成查询

  • Last updated on