你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中的安全功能分数可帮助你改善云安全状况。 安全分数将安全结果聚合到单个分数中,以便一目了然地评估当前安全情况。 分数越高,识别的风险级别便越低。
在订阅中启用 Defender for Cloud 后,订阅中默认应用 Microsoft 云安全基准 (MCSB) 标准。 开始根据 MCSB 标准评估范围内的资源。
MCSB 根据评估结果提出建议。 只有 MCSB 提供的内置建议会影响安全分数。 目前,风险优先级不会影响安全功能分数。
注意
两种安全功能分数模型:Microsoft Defender for Cloud 现在提供两种不同的安全功能分数模型。 新的 云安全功能分数(基于风险) 在 Microsoft Defender 门户中提供,并包含资产风险因素和关键性,以便更准确地确定优先级。 经典 安全功能分数 仍可在 Azure 门户中使用。 这些模型具有不同的计算和值。 有关新模型的详细信息,请参阅本文的 Defender 门户体验 。
计算安全功能分数时不包括标记为“预览”的建议。 但仍应尽可能修正这些建议,这样在预览期结束时,它们会有助于提升分数。 预览建议用图标标记:
。
建议成熟度 [预览] 不会修改安全功能分数 UI 或加权模型;它只对建议进行分类。 除了排除预览建议之外,安全功能分数公式和 UI 值保持不变。
查看安全功能分数
查看 Defender for Cloud 的“概述”仪表板时,可以查看所有环境的安全分数。 仪表板将安全分数显示为百分比值,并包括基础值。
Azure 移动应用将安全分数显示为百分比值。 点击它可查看解释该分数的详细信息。
了解安全态势
Defender for Cloud 中的“安全状况”页面显示环境的整体安全分数以及单独每个环境的安全分数。
在此页上,你可以查看影响总分的订阅、帐户和项目、有关不正常资源的信息以及相关建议。 可以按环境进行筛选,例如 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Azure DevOps。 然后可以深化到每个 Azure 订阅、AWS 帐户和 GCP 项目。
安全分数的计算
在 Defender for Cloud 的“建议”页上,“安全分数建议”选项卡显示 MCSB 中的合规性控件如何提升总体安全分数。
Defender for Cloud 每 8 小时计算一次每个 Azure 订阅或者每个 AWS 或 GCP 云连接器的每个控件。
重要说明
控件中的建议更新频率高于控件本身。 你可能会发现建议的资源计数与控件上的资源计数之间存在差异。
控制的示例分数
以下示例重点介绍“修正漏洞”的安全功能分数建议。
此示例介绍了建议中的以下字段。
| 字段 | 详细信息 |
|---|---|
| 修正漏洞 | 一组用于发现和解决已知漏洞的建议。 |
| 最高分数 | 实现控件中的所有建议后可以获得的最高分数。 控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。 使用此列中的值来确定首先要处理的问题。 |
| 当前分数 | 此控制的当前分数。 当前分数 = [每个资源的分数] * [正常运行的资源数] 每个控制都对总分贡献点数。 在此示例中,该控件为当前总分贡献了 3.33 分。 |
| 潜在分数增加 | 控制中可提升的剩余分值。 如果实现此控制中的所有建议,分数增加 4%。 潜在分数增加 = [每个资源的分数] * [运行不正常的资源数] |
| Insights | 每个建议的额外详细信息,例如: -
预览建议:此建议仅在正式发布后影响安全分数。- 
修复:解决此问题。- 
强制执行:当所创建资源不合规时,你可以自动部署策略来解决此问题。- 
拒绝:阻止创建具有此问题的新资源。 |
分数计算公式
下面介绍了如何计算分数。
安全控制
用于确定安全控件分数的公式为:
各个控制的当前分数是对该控制中资源状态的度量。 每个单独的安全控件都会影响安全分数。 控件中的建议所影响的每个资源都对控件的当前分数有贡献。 安全分数不包括在预览建议中找到的资源。
在以下示例中,最大分数 6 将除以 78,因为后者是正常和不正常资源的总和。 因此,6 / 78 = 0.0769。 将其与正常资源的数量 (4) 相乘可得出当前分数:0.0769 * 4 = 0.31。
单个订阅或连接器
用于确定单个订阅或连接器的安全分数的公式为:
此公式与连接器的公式相同,只需将“订阅”一词替换为“连接器”。
多个订阅和连接器
用于确定多个订阅和连接器的安全分数的公式为:
多个订阅和连接器的综合得分会加入每个订阅和连接器的“权重”。 Defender for Cloud 根据线性加权模型确定订阅和连接器的相对权重,该模型使用每个订阅的健康资源和不健康资源的组合数(不包括“不可用”资源)。 每个订阅和连接器的当前分数与单个订阅或连接器的计算方式相同,然后应用其权重(见公式)。 如果针对特定控件的订阅或连接器没有进行任何评估(既没有正常资源也没有不正常资源),那么该控件将不计入该订阅或连接器的分数计算。 在这种情况下,该控件的当前点数和最大潜在点数都不计入该订阅的分数。 UI 中显示的聚合安全分数不是每个订阅百分比或按控制计数的简单算术平均值;它是跨订阅的加权总和。 因此,UI 中显示的按控制资源编号不能用于在多个订阅中手动重新计算总体安全功能分数。
查看多个订阅和连接器时,安全分数会评估所有已启用的策略中的所有资源并将其分组。 将资源分组可以显示它们如何共同影响每个安全控件的最高分数。
提高安全功能分数
MCSB 由一系列合规性控件组成。 每个控制措施都是相关安全建议的一个逻辑组,反映了易受攻击的攻击面。
若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。 仅当修正所有建议时,分数才会提高。
若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。 例如,Defender for Cloud 提供有关如何保护管理端口的多个建议。 现在必须修正所有建议,才能改变安全分数。
可以使用以下任一方法提高安全分数:
- 修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。
- 强制执行或拒绝建议来提高分数,并确保用户不会创建对分数产生不利影响的资源。
安全功能分数控制
下表列出了 Microsoft Defender for Cloud 中的安全控件。 对于每个控件,如果你实现了控件中列出的针对所有资源的所有建议,则可以看到安全功能分数可增加的最大分数。
| 安全分数 | 安全控制 |
|---|---|
| 10 |
启用 MFA:Defender for Cloud 在 MFA 上设置了一个较高的值。 使用这些建议可帮助保护订阅的用户。 可以通过三种方法来启用 MFA 并符合建议:安全默认值、每用户分配、条件访问策略。 |
| 8 | 安全管理端口:暴力攻击通常以管理端口为目标。 使用这些建议可通过实时 VM 访问和网络安全组等工具减少暴露。 |
| 6 | 应用系统更新:不应用更新会留下未修补的漏洞,使环境容易受到攻击。 使用这些建议可保持运营效率、减少安全漏洞,并为最终用户提供更稳定的环境。 若要部署系统更新,可以使用 Azure 更新管理器来管理计算机的修补程序和更新。 |
| 6 | 修正漏洞:当漏洞评估工具向 Defender for Cloud 报告漏洞时,Defender for Cloud 会提供调查结果和相关信息作为建议。 使用这些建议修正已识别的漏洞。 |
| 4 | 修正安全配置:配置错误的 IT 资产受到攻击的风险更高。 使用这些建议可强化基础结构中识别的错误配置。 |
| 4 | 管理访问和权限:安全程序的核心是确保用户仅具有完成其工作所需的访问权限:最小特权访问模型。 使用这些建议可管理标识和访问要求。 |
| 4 | 启用静态加密:使用这些建议可确保减少存储数据保护方面的错误配置。 |
| 4 | 加密传输中的数据:使用这些建议可帮助保护在组件、位置或程序之间移动的数据。 这类数据更容易遭受中间人攻击、窃听和会话劫持。 |
| 4 |
限制未经授权的网络访问:Azure 提供了一套工具,旨在为整个网络中的访问提供最高安全标准。 使用这些建议可管理 Defender for Cloud 的自适应网络强化、确保已为所有相关平台即服务 (PaaS) 服务配置 Azure 专用链接、在虚拟网络上启用 Azure 防火墙等。 |
| 3 | 应用自适应应用程序控制:自适应应用程序控制是一种智能的、自动化的端到端解决方案,可用于控制哪些应用程序可以在计算机上运行。 它还有助于强化计算机免受恶意软件的侵害。 |
| 2 | 保护应用程序免受 DDoS 攻击:Azure 中的高级网络安全解决方案包括 Azure DDoS 防护、Azure Web 应用程序防火墙和适用于 Kubernetes 的 Azure Policy 加载项。 使用这些建议可帮助通过这些工具和其他工具来保护应用程序。 |
| 2 |
启用终结点保护:Defender for Cloud 会检查组织的终结点中是否存在活动的威胁检测和响应解决方案,例如 Microsoft Defender for Endpoint 或此列表中显示的任何主要解决方案。 如果未启用终结点检测和响应 (EDR) 解决方案,请使用这些建议来部署 Microsoft Defender for Endpoint。 Defender for Endpoint 包含在 Defender for Servers 计划中。 此控制中的其他建议可帮助部署代理并配置文件完整性监视。 |
| 1 | 启用审核和日志记录:详细日志是事件调查和许多其他故障排除操作的关键部分。 此控件中的建议侧重于确保在相关位置启用诊断日志。 |
| 0 | 启用增强的安全功能:使用这些建议启用 Defender for Cloud 计划。 |
| 0 | 实施安全最佳做法:此建议集合对于组织安全非常重要,但不会影响安全分数。 |
跟踪安全功能分数
可以通过 Azure 门户或编程方式查找总体安全分数以及每个订阅的分数,如以下各部分所述:
小窍门
有关如何计算分数的详细说明,请参阅计算 - 了解分数。
从门户获取安全功能分数
Defender for Cloud 在 Azure 门户中突出显示你的分数。 在概述页上选择安全功能分数磁贴时,会导航到专用安全功能分数页,其中会显示按订阅细分的分数。 选择单个订阅可查看重要建议的详细列表,以及实现这些建议将对订阅分数产生的潜在影响。
您的安全评分显示在 Defender for Cloud 的 Azure 门户页面的以下位置:
在 Defender for Cloud 的“概述”磁贴中(主仪表板):
在专用的“安全功能分数”页面中,可查看订阅和管理组的安全功能分数:
注意
你没有足够权限的任何管理组都会将其分数显示为“受限制”。
在“建议”页面的顶部:
从 REST API 获取安全功能分数
可以通过安全功能分数 API 访问分数。 通过 API 方法,可灵活地查询数据,久而久之构建自己的安全功能分数报告机制。 例如,你可以使用安全功能分数 API 来获取特定订阅的分数。 此外,你可以使用 API 列出订阅的安全控件和当前分数。
有关构建在安全功能分数 API 之上的工具示例,请参阅 GitHub 社区的安全功能分数区域。
从 Azure Resource Graph 获取安全功能分数
使用 Azure Resource Graph (ARG),可以通过可靠的筛选、分组和排序功能,快速访问你的云环境中的资源信息。 这是以编程方式或从 Azure 门户中查询 Azure 订阅中的信息的一种快速且有效的方式。 详细了解 Azure Resource Graph。
若要使用 Azure Resource Graph 访问多个订阅的安全功能分数,请执行以下操作:
在 Azure 门户中,打开 Azure Resource Graph Explorer。
输入你的 Kusto 查询(使用以下示例作为指导)。
此查询返回订阅 ID、当前分数(以分数和百分比表示)以及订阅的最大分数。
SecurityResources | where type == 'microsoft.security/securescores' | extend current = properties.score.current, max = todouble(properties.score.max) | project subscriptionId, current, max, percentage = ((current / max)*100)该查询返回所有安全控件的状态。 对于每个控制项,您将获取不健康资源的数量、当前分数和最大分数。
SecurityResources | where type == 'microsoft.security/securescores/securescorecontrols' | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max | project SecureControl , unhealthy, currentscore, maxscore
选择 运行查询。
跟踪一段时间内的安全评分
“工作簿”页中的“一段时间内的安全功能分数”报表
Defender for Cloud 的工作簿页面包含一个现成的报表,可用于直观地跟踪订阅和安全控制等内容的分数。 若要了解详细信息,请参阅创建丰富的交互式 Defender for Cloud 数据报表。
Power BI Pro 仪表板
如果你是具有 Pro 帐户的 Power BI 用户,则可以使用“一段时间内的安全评分”Power BI 面板跟踪一段时间内的安全评分,并调查任何更改。
小窍门
可以在 GitHub 上的 Microsoft Defender for Cloud 社区专用区域中找到此仪表板和其他工具,以编程方式管理安全评分:https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score
该面板包含以下两个报表,可帮助你分析安全状态:
资源摘要 - 提供有关资源运行状况的汇总数据。
安全评分摘要 - 提供有关评分进度的摘要数据。 使用“每个订阅一段时间内的安全功能分数”图表查看分数的变化。 如果您注意到分数发生了显著变化,请检查“可能会影响您的安全评分的已检测到的更改”表,了解可能导致变化的原因。 此表显示了已删除的资源、新部署的资源或其安全状态针对其中一项建议发生了更改的资源。
Next steps
注意
两种安全功能分数模型:Microsoft Defender for Cloud 现在提供两种不同的安全功能分数模型。 新的 云安全功能分数(基于风险) 在 Microsoft Defender 门户中提供,并包含资产风险因素和关键性,以便更准确地确定优先级。 经典 安全功能分数 仍可在 Azure 门户中使用。 这些模型具有不同的计算和值。 有关经典模型的详细信息,请参阅本文的 Azure 门户体验 。
此功能目前以预览版提供。 有关当前差距和限制的详细信息,请参阅 已知限制。
Defender 门户中的云安全功能分数
云安全功能分数(基于风险)是对云安全状况的评估。 通过分数,可以客观地评估和监视云安全状况,并衡量风险缓解工作。
云安全评分将资产风险因素和资产重要性引入到计算中,使评分更准确,从而实现对高风险级别建议的更智能优先级排序。
云安全评分模型
云安全功能分数基于 Defender for Cloud 中开放建议的数量和风险级别。 若要提高分数,请专注于风险级别较高的建议,因为它们对分数的贡献最大。
云安全功能分数公式
云安全功能分数范围为 0 到 100,100 表示最佳安全状况。 分数是所选资产分数的聚合。
若要在任何范围内计算给定组织的环境分数,该公式将评估资产风险(可能性和影响的组合)。 对于每个资产,该公式计算此资产的建议风险级别的加权平均值,同时考虑资产的风险因素(例如 Internet 暴露、数据敏感度等),以及组织的资产关键性。
说明(云安全评分公式)
- n = 资产数
- 关键性 = 组织的资产关键性
- Rec.Low = 风险级别较低的建议
- Rec.Medium = 具有中等风险级别的建议
- Rec. High = 具有高风险等级的建议
- Rec.Critical = 具有关键风险等级的建议
访问云安全功能分数 (Defender 门户)
安全分数合并到统一的 Microsoft 安全体验中,提供一个单一的入口点,用于了解标识、设备、云应用、数据和基础结构的状态。 云安全评分是更广泛范围内的云态势组件。
云安全评分的导航路径(云计划)
- 曝光管理>安全功能分数> 查看云计划
- 曝光管理>举措> 查看云举措
- 云基础结构>概述> 顶部指标卡片或安全态势小组件 > 查看云计划
倡议仪表板
导航到漏洞管理>活动以查看合并的云安全状态视图。 此仪表板汇总:
- 主要举措及其相关状态
- 最近的安全和曝光分数历史记录(14 天趋势)
- 跨域见解 (SaaS, 终结点, 云, 标识, 勒索软件保护)
- 用于跟踪修正关注度的特定于工作负荷的态势数据
打开“云计划”页
- 转到 曝光管理>计划。
- 选择 “云安全性”。
- 在侧边面板中,选择 “打开项目页面”。
- 查看概览仪表板组件:
- 当前云安全功能分数
- 随时间推移的安全评分趋势
- 按环境(Azure、AWS、GCP)进行安全评分以快速进行多云比较
- 按工作负载进行安全评分,以突出主要工作负载类别的安全状况差异。
- 建议摘要
- 最常见的建议是按关键性将修正重点放在分数最高和降低风险影响的方面
注意
在 Azure 门户中,仍可使用经典建议视图查看上一个(经典)安全评分。 导航:Azure 门户→ Microsoft Defender for Cloud → 建议→切换到经典视图。
Microsoft安全得分上下文
Microsoft安全分数是跨越多个安全域的更广泛统一概念。 本页重点介绍云安全功能分数(Defender for Cloud 中的云安全状况管理)。 其他Microsoft安全分数显示在Microsoft安全门户中。
安全评分类型
| 评分类型 | 范围/域 | 主要源产品和数据 |
|---|---|---|
| Microsoft 安全功能分数 | 身份姿态 | Microsoft Entra (Azure AD) 建议 |
| 暴露安全评分 | 设备/终结点状况 | Microsoft Defender for Endpoint(设备配置、威胁防护) |
| 云安全功能分数 | 云态势(多云) | Microsoft Defender for Cloud(Azure、AWS、GCP) |
注意
标记为 预览 的建议不包括在安全功能分数计算中。 但仍应尽可能修正这些建议,这样在预览期结束时,它们会有助于提升分数。 预览建议用图标标记:。
建议成熟度 [预览] 不会修改安全功能分数 UI 或加权模型;它只对建议进行分类。 除了排除预览建议之外,安全功能分数公式和 UI 值保持不变。