Microsoft 安全风险管理确保业务关键型资产的安全和可用。 关键资产可帮助 SOC 团队确定工作优先级,以最大程度地提高对改善组织安全状况的影响。 本文概述了默认提供的内置关键资产分类器,这些分类器由Microsoft安全研究团队自动更新。
可以查看 和分类关键资产,并根据需要打开和关闭它们。
若要建议新的关键资产分类,请使用 “反馈 ”按钮。
当前资产类型为:
注意
关键资产现装分类逻辑根据环境中设置Microsoft Defender工作负载和第三方集成累积的资产行为对资产进行分类。
当多个分类规则应用于资产时,具有最高关键性级别的规则优先。 此分类一直有效,直到资产不再满足该规则的条件,此时它将自动还原到下一个适用的分类级别。
设备
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| Microsoft Entra ID Connect | 设备 | 高 | Microsoft Entra ID Connect 服务器负责将本地目录数据和密码同步到 Microsoft Entra ID 租户。 泄露可能会中断标识同步,从而导致身份验证问题和潜在的安全漏洞。 |
| Microsoft Entra ID Cloud Sync | 设备 | 高 | Microsoft Entra ID 云同步代理负责使用轻型基础结构将本地目录数据同步到 Microsoft Entra ID 租户。 泄露可能会中断标识同步,从而导致身份验证问题和潜在的安全漏洞。 |
| ADCS | 设备 | 高 | ADCS 服务器允许管理员 (PKI) 完全实现公钥基础结构,并颁发数字证书来保护多个网络资源。 泄露可能会破坏 SSL 加密、用户身份验证和安全电子邮件,从而导致严重的安全漏洞。 |
| ADFS | 设备 | 高 | ADFS 服务器为用户提供跨组织边界对系统和应用程序的单一登录访问。 它使用基于声明的访问控制授权模型来维护应用程序安全性并实现联合标识。 泄露可能导致未经授权的访问和数据泄露。 |
| 备份 | 设备 | 中 | 备份服务器负责通过定期备份来保护数据,确保数据保护和灾难恢复就绪。 泄露可能会导致数据丢失并阻碍灾难恢复工作,从而影响业务连续性。 |
| 域管理员设备 | 设备 | 高 | 域管理员设备经常由域管理员使用,并可能存储相关的文件、文档和凭据。 泄露可能会导致未经授权访问管理工具和敏感信息。 根据多种因素(包括频繁使用管理工具)检测到。 |
| 域控制器 | 设备 | 非常高 | 域控制器服务器负责对 Active Directory 域中的网络资源进行用户身份验证、授权和集中管理。 |
| DNS | 设备 | 低 | DNS 服务器对于将域名解析为 IP 地址、在内部和外部实现网络通信和访问资源至关重要。 入侵可能会中断网络通信和对资源的访问。 |
| Exchange | 设备 | 中 | Exchange 服务器负责组织内的所有邮件流量。 根据设置和体系结构,每个服务器可能保存多个存储高度敏感的组织信息的邮件数据库。 泄露可能导致对敏感信息的未经授权的访问和邮件服务中断。 |
| IT 管理员设备 | 设备 | 中 | 用于配置、管理和监视组织内资产的关键设备对于 IT 管理至关重要,并且存在网络威胁的高风险。 它们需要顶级安全性,以防止未经授权的访问。 泄露可能会导致未经授权访问管理工具和敏感信息。 由多个因素检测到,包括频繁使用管理工具。 |
| 管理员设备的安全作 | 设备 | 高 | 用于配置、管理和监视组织内安全性的关键设备对于安全运营管理至关重要,并且存在网络威胁的高风险。 它们需要顶级安全措施,以防止未经授权的访问。 泄露可能会导致未经授权访问安全工具和敏感信息。 由多个因素检测到,包括频繁使用管理工具。 |
| 网络管理员设备 | 设备 | 中 | 用于配置、管理和监视组织内网络资产的关键设备对于网络管理至关重要,并且存在网络威胁的高风险。 它们需要顶级安全性,以防止未经授权的访问。 泄露可能会导致未经授权访问网络工具和敏感信息。 由多个因素检测到,包括频繁使用管理工具。 |
| VMware ESXi | 设备 | 高 | VMware ESXi 虚拟机监控程序对于在基础结构中运行和管理虚拟机至关重要。 作为裸机虚拟机监控程序,它为创建和管理虚拟资源提供了基础。 入侵可能会中断虚拟机的作和管理。 |
| VMware vCenter | 设备 | 高 | VMware vCenter Server 对于管理虚拟环境至关重要。 它提供对虚拟机和 ESXi 主机的集中管理。 如果失败,可能会中断虚拟基础结构的管理和控制,包括虚拟机的预配、迁移、负载均衡和数据中心自动化。 但是,由于通常存在冗余的 vCenter 服务器和高可用性配置,因此可能不会立即停止所有作。 其故障仍可能导致重大不便和潜在的性能问题。 |
| Hyper-V Server | 设备 | 高 | Hyper-V 虚拟机监控程序对于在基础结构中运行和管理虚拟机至关重要,充当创建和管理虚拟机的核心平台。 如果 Hyper-V 主机发生故障,可能会导致托管虚拟机不可用,这可能会导致停机并中断业务运营。 此外,这可能会导致性能大幅下降和作挑战。 因此,确保 Hyper-V 主机的可靠性和稳定性对于在虚拟环境中维护无缝作至关重要。 |
| SharePoint Server | 设备 | 中 | SharePoint 服务器负责跨团队进行安全的内容管理、协作和文档共享。 它在组织内托管 Intranet 门户和企业搜索。 泄露可能导致对敏感信息的未经授权的访问和内容服务中断。 |
| 具有敏感信息 (Azure Document DB 身份验证密钥) 的设备 | 设备 | 高 | 已访问包含 Azure Document DB 身份验证密钥的文档(标识为敏感数据)的设备。 这些设备在与敏感内容交互时自动归类为“高严重性”,并在连续 5 天后还原其基线分类,而无需访问敏感文件。 在此处了解详细信息 |
| 具有 Azure Redis 缓存连接字符串 (敏感信息的设备) | 设备 | 高 | 已访问包含 Azure Redis 缓存连接字符串的文档(标识为敏感数据)的设备。 这些设备在与敏感内容交互时自动归类为“高严重性”,并在连续 5 天后还原其基线分类,而无需访问敏感文件。 莱姆 更多在这里。 |
| 具有 Azure 存储帐户密钥) (敏感信息的设备 | 设备 | 高 | 已访问包含 Azure 存储帐户密钥(标识为敏感数据)的文档的设备。 这些设备在与敏感内容交互时自动归类为“高严重性”,并在连续 5 天后还原其基线分类,而无需访问敏感文件。 点击此处了解详细信息。 |
标识
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| 具有特权角色的标识 | 标识 | 高 | 以下标识 (用户、组、服务主体或托管标识) 在订阅范围内分配了内置或自定义特权 Azure RBAC 角色,其中包含关键资源。 该角色可以包括 Azure 角色分配、修改 Azure 策略、使用“运行”命令在 VM 上执行脚本、对存储帐户和密钥保管库的读取访问权限等。 |
| 应用程序管理员 | 标识 | 非常高 | 此角色中的标识可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 |
| 应用程序开发人员 | 标识 | 高 | 此角色中的标识可以创建独立于“用户可以注册应用程序”设置的应用程序注册。 |
| 身份验证管理员 | 标识 | 非常高 | 此角色中的标识可以设置和重置身份验证方法, (包括非管理员用户的密码) 。 |
| Backup Operators | 标识 | 非常高 | 此角色中的标识可以备份和还原计算机上的所有文件,而不管保护这些文件的权限如何。 备份操作员还可以登录到和关闭计算机,并且可以在域控制器上执行备份和还原作。 |
| 服务器操作员 | 标识 | 非常高 | 此角色中的标识可以管理域控制器。 服务器操作员组的成员可以执行以下作:以交互方式登录到服务器、创建和删除网络共享资源、启动和停止服务、备份和还原文件、格式化计算机的硬盘驱动器以及关闭计算机。 |
| B2C IEF 密钥集管理员 | 标识 | 高 | 此角色中的标识可以在标识体验框架 (IEF) 中管理联合和加密的机密。 |
| 云应用程序管理员 | 标识 | 非常高 | 此角色中的标识可以创建和管理应用注册和企业应用的所有方面,但应用代理除外。 |
| 云设备管理员 | 标识 | 高 | 此角色中的标识对管理Microsoft Entra ID 中的设备具有有限的访问权限。 他们可以启用、禁用和删除Microsoft Entra ID 中的设备,并读取Windows 10 BitLocker 密钥 ((如果Azure 门户中存在) )。 |
| 条件访问管理 | 标识 | 高 | 此角色中的标识能够管理Microsoft Entra条件访问设置。 |
| 目录同步帐户 | 标识 | 非常高 | 此角色中的标识能够管理所有目录同步设置。 只能由 Microsoft Entra Connect 服务使用。 |
| 目录作者 | 标识 | 高 | 此角色中的标识可以读取和写入基本目录信息。 用于授予对不适合用户的应用程序的访问权限。 |
| 域管理员 | 标识 | 非常高 | 此角色中的标识有权管理域。 默认情况下,域管理员组是已加入域的所有计算机上的 Administrators 组的成员,包括域控制器。 |
| 企业管理员 | 标识 | 非常高 | 此角色中的标识具有配置所有域控制器的完全访问权限。 此组中的成员可以修改所有管理组的成员身份。 |
| 全局管理员 | 标识 | 非常高 | 此角色中的标识可以管理Microsoft Entra ID 和使用Microsoft Entra标识Microsoft服务的所有方面。 |
| 全局读取者 | 标识 | 高 | 此角色中的标识可以读取全局管理员可以读取的所有内容,但不能更新任何内容。 |
| 帮助台管理员 | 标识 | 非常高 | 此角色中的标识可以重置非管理员和技术支持管理员的密码。 |
| 混合标识管理员 | 标识 | 非常高 | 此角色中的标识可以管理 Active Directory 以Microsoft Entra云预配、Microsoft Entra Connect、直通身份验证 (PTA) 、密码哈希同步 (PHS) 、无缝单一登录 (无缝 SSO) 和联合设置。 |
| Intune 管理员 | 标识 | 非常高 | 此角色中的标识可以管理 Intune 产品的各个方面。 |
| 合作伙伴层级 1 支持 | 标识 | 非常高 | 此角色中的标识可以重置非管理员用户的密码、更新应用程序的凭据、创建和删除用户以及创建 OAuth2 权限授予。 此角色已弃用,将来将从Microsoft Entra ID 中删除。 请勿使用 - 不适合一般用途。 |
| 合作伙伴层级 2 支持 | 标识 | 非常高 | 此角色中的标识可以重置所有用户的密码 (包括全局管理员) 、更新应用程序的凭据、创建和删除用户以及创建 OAuth2 权限授予。 此角色已弃用,将来将从Microsoft Entra ID 中删除。 请勿使用 - 不适合一般用途。 |
| 密码管理员 | 标识 | 非常高 | 此角色中的标识可以重置非管理员和密码管理员的密码。 |
| 特权身份验证管理员 | 标识 | 非常高 | 此角色中的标识可以查看、设置和重置任何用户 (管理员或非管理员) 的身份验证方法信息。 |
| 特权角色管理员 | 标识 | 非常高 | 此角色中的标识可以管理Microsoft Entra ID 中的角色分配,以及Privileged Identity Management的各个方面。 |
| 安全作管理员用户 | 标识 | 高 | 此角色中的标识可以在组织内配置、管理、监视和响应威胁。 注意:此规则逻辑依赖于预定义的关键设备分类“安全作管理员设备”。 |
| 安全管理员 | 标识 | 高 | 此角色中的标识可以读取安全信息和报告,并在Microsoft Entra ID 和Office 365中管理配置。 |
| 安全操作员 | 标识 | 高 | 此角色中的标识可以创建和管理安全事件。 |
| 安全信息读取者 | 标识 | 高 | 此角色中的标识可以读取Microsoft Entra ID 和Office 365的安全信息和报告。 |
| 用户管理员 | 标识 | 非常高 | 此角色中的标识可以管理用户和组的所有方面,包括为受限管理员重置密码。 |
| Exchange 管理员 | 标识 | 高 | 此角色中的标识可以管理 Exchange 产品的各个方面。 |
| SharePoint 管理员 | 标识 | 高 | 此角色中的标识可以管理 SharePoint 服务的各个方面。 |
| 合规性管理员 | 标识 | 高 | 此角色中的标识可以读取和管理 Microsoft Entra ID 和 Microsoft 365 中的合规性配置和报告。 |
| 组管理员 | 标识 | 高 | 此角色中的标识可以创建/管理组和组设置,例如命名和过期策略,以及查看组活动和审核报告。 |
| 外部标识提供者管理员 | 标识 | 非常高 | 此角色中的标识可以配置标识提供者以用于直接联合身份验证。 这意味着他们有权设置和管理组织标识系统与外部标识提供者之间的连接。 此角色的泄露可能会导致未经授权的配置更改,从而影响联合标识和访问管理。 这可能会导致对敏感系统和数据的未经授权的访问,从而给组织的安全和运营带来严重风险。 |
| 域名管理员 | 标识 | 非常高 | 此角色中的标识可以在云和本地环境中管理域名。 域名对于网络通信和资源访问至关重要。 此角色的泄露可能会导致未经授权的域名更改,导致网络通信中断、流量定向错误,以及可能遭受网络钓鱼攻击。 这可能会严重影响组织的有效运营和沟通能力。 |
| 权限管理管理员 | 标识 | 非常高 | 此角色中的标识可以管理Microsoft Entra 权限管理 (EPM) 的各个方面。 这包括设置和修改组织内用户和资源的权限。 泄露此角色可能会导致权限管理发生未经授权的更改,从而影响访问控制和安全策略。 这可能会导致未经授权访问敏感数据和系统,从而对组织的安全性和作完整性构成重大风险。 |
| 帐务管理员 | 标识 | 高 | 此角色中的标识可以执行常见的计费相关任务,例如更新付款信息。 |
| 许可证管理员 | 标识 | 高 | 此角色中的标识可以管理用户和组的产品许可证。 |
| Teams 管理员 | 标识 | 高 | 此角色中的标识可以管理Microsoft Teams 服务。 |
| 外部 ID用户流管理员 | 标识 | 高 | 此角色中的标识可以创建和管理用户流的各个方面。 |
| 外部 ID用户流属性管理员 | 标识 | 高 | 此角色中的标识可以创建和管理可供所有用户流使用的属性架构。 |
| B2C IEF 策略管理员 | 标识 | 高 | 此角色中的标识可以在标识体验框架 (IEF) 中创建和管理信任框架策略。 |
| 合规数据管理员 | 标识 | 高 | 此角色中的标识可以创建和管理合规性内容。 |
| 身份验证策略管理员 | 标识 | 高 | 此角色中的标识可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。 |
| 知识管理员 | 标识 | 高 | 此角色中的标识可以配置知识、学习和其他智能功能。 |
| 知识经理 | 标识 | 高 | 此角色中的标识可以组织、创建、管理和提升主题和知识。 |
| 属性定义管理员 | 标识 | 高 | 此角色中的标识可以定义和管理自定义安全属性的定义。 |
| 属性分配管理员 | 标识 | 高 | 此角色中的标识可以将自定义安全属性密钥和值分配给受支持的Microsoft Entra对象。 |
| 标识治理管理员 | 标识 | 高 | 此角色中的标识可以使用标识治理方案的Microsoft Entra ID 来管理访问权限。 |
| 云应用安全管理员 | 标识 | 高 | 此角色中的标识可以管理Defender for Cloud Apps产品的各个方面。 |
| Windows 365 管理员 | 标识 | 高 | 此角色中的标识可以预配和管理云电脑的各个方面。 |
| Yammer 管理员 | 标识 | 高 | 此角色中的标识可以管理 Yammer 服务的各个方面。 |
| 身份验证扩展性管理员 | 标识 | 高 | 此角色中的标识可以通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。 |
| 生命周期工作流管理员 | 标识 | 高 | 此角色中的标识在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面。 |
| (技术) 高级管理人员 | 标识 | 非常高 | 具有此分类的标识属于技术领域的高管。 |
| 高级管理人员 (财务) | 标识 | 非常高 | 具有此分类的标识属于财务领域的高级管理人员。 |
| 高级管理人员 (运营) | 标识 | 非常高 | 具有此分类的标识属于运营领域的高级管理人员。 |
| 高级管理人员 (营销) | 标识 | 非常高 | 具有此分类的标识属于市场营销领域的高级管理人员。 |
| 高级管理人员 (信息) | 标识 | 非常高 | 具有此分类的标识属于信息领域的高级管理人员。 |
| 高级执行 (执行) | 标识 | 非常高 | 具有此分类的标识属于执行领域的高级管理人员。 |
| 人力资源 (高级管理人员) | 标识 | 非常高 | 具有此分类的标识属于人力资源领域的高级管理人员。 |
云资源
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| 包含敏感数据的数据库 | 云资源 | 高 | 这是包含敏感数据的数据存储。 数据的敏感度范围从机密、机密文档、个人身份信息等。 |
| 机密 Azure 虚拟机 | 云资源 | 高 | 此规则适用于 Azure 机密虚拟机。 机密 VM 提供更高的隔离、隐私和加密,并用于关键或高度敏感的数据和工作负载。 |
| 锁定的 Azure 虚拟机 | 云资源 | 中 | 这是由锁保护的虚拟机。 锁用于保护资产免遭删除和修改。 通常,管理员使用锁来保护其环境中的关键云资产,并防止意外删除和未经授权的修改。 |
| 具有高可用性和性能的 Azure 虚拟机 | 云资源 | 低 | 此规则适用于使用高级 Azure 存储并配置了可用性集的 Azure 虚拟机。 高级存储用于具有高性能要求的计算机,例如生产工作负载。 可用性集提高了复原能力,并且通常针对需要高可用性的业务关键型 VM 进行指示。 |
| 不可变 Azure 存储 | 云资源 | 中 | 此规则适用于已启用不可变性支持的 Azure 存储帐户。 不可变性在读取许多 (WORM) 状态后,在写入中存储业务数据,通常指示存储帐户保存必须防止修改的关键或敏感数据。 |
| 不可变和锁定的 Azure 存储 | 云资源 | 高 | 此规则适用于启用了锁定策略的不可变性支持的 Azure 存储帐户。 不可变性在读取多个 WORM) 后,在写入中存储业务数据 (。 通过锁定策略来增强数据保护,以确保无法删除数据或缩短其保留时间。 这些设置通常指示存储帐户包含必须防止修改或删除的关键或敏感数据。 数据可能还需要与数据保护的合规性策略保持一致。 |
| 已登录关键用户的 Azure 虚拟机 | 云资源 | 高 | 此规则适用于受 Defender for Endpoint 保护的虚拟机,在该虚拟机中,具有较高或非常高的关键性级别的用户已登录。 登录用户可以通过已加入或已注册的设备、活动浏览器会话或其他方式进行。 |
| 具有许多连接标识的 Azure Key Vault | 云资源 | 高 | 与其他 Key Vault 相比,此规则标识可由大量标识访问的 Azure Key Vault。 这通常表示密钥保管库由关键工作负荷(如生产服务)使用。 |
| 具有大量作的 Azure 密钥保管库 | 云资源 | 高 | 此规则标识作量较高的 Azure Key Vault,并将其标记为关键。 这些指标突出显示了对安全性和作稳定性至关重要的 Key Vault。 |
| 锁定Azure Kubernetes 服务群集 | 云资源 | 低 | 这是由锁保护的Azure Kubernetes 服务群集。 锁用于保护资产免遭删除和修改。 通常,管理员使用锁来保护其环境中的关键云资产,并防止意外删除和未经授权的修改。 |
| 高级层Azure Kubernetes 服务群集 | 云资源 | 高 | 此规则适用于具有高级层群集管理的Azure Kubernetes 服务群集。 建议使用高级层来运行需要高可用性和可靠性的生产或任务关键型工作负荷。 |
| 具有多个节点的Azure Kubernetes 服务群集 | 云资源 | 高 | 此规则适用于具有大量节点的Azure Kubernetes 服务群集。 这通常表示群集用于关键工作负荷,例如生产工作负荷。 |
| 具有多个节点的 Azure Arc Kubernetes 群集 | 云资源 | 高 | 此规则适用于具有大量节点的 Azure Arc Kubernetes 群集。 这通常表示群集用于关键工作负荷,例如生产工作负荷。 |