Microsoft 安全风险管理可帮助你管理公司攻击面和暴露风险。 攻击路径结合了资产和技术,以显示攻击者可以创建的端到端路径,以便从组织的入口点获取 关键资产。
注意
攻击路径的值根据用作源的数据而增加。 如果没有可用的数据或数据不反映组织的环境,则攻击路径可能不会显示。 如果你没有为工作负载定义许可证并在攻击路径中集成并表示,或者你尚未完全定义关键资产,则攻击路径可能没有完全代表性。
你可能会看到空的攻击路径页面,因为体验侧重于迫在眉睫的威胁,而不是探索性方案。
攻击路径仪表板
攻击路径仪表板提供组织中攻击路径的高级视图。 它显示攻击路径数、扼流点数和关键资产数。 可以使用此信息来了解组织的安全状况,并确定安全工作的优先级。 从仪表板,可以向下钻取攻击路径、扼流点和关键资产的详细信息。
识别和解决攻击路径
下面介绍了曝光管理如何帮助你识别和解决攻击路径。
攻击路径生成:安全风险管理基于跨资产和工作负载收集的数据自动生成攻击路径。 它模拟攻击方案,并识别攻击者可能利用的漏洞和弱点。
- 门户中可见的攻击路径数可能会因 IT 环境的动态性质而波动。 我们的系统根据每个客户环境的实时条件动态生成攻击路径。 更改(例如,添加或删除资产、更新配置、用户从计算机登录或注销、在组中添加或删除用户,以及新网络分段或安全策略的实现)都可能会影响识别的攻击路径的数量和类型。
- 此方法可确保我们提供的安全状况准确且反映最新的环境状态,并适应当今 IT 环境中所需的敏捷性。
攻击路径可见性:攻击路径图视图使用 企业暴露图 数据可视化攻击路径,以了解潜在威胁可能如何展开。
- 将鼠标悬停在每个节点和连接器图标上可提供有关如何生成攻击路径的其他信息。 例如,从包含 TLS/SSL 密钥的初始虚拟机到对存储帐户的权限。
- 企业曝光映射扩展了可视化攻击路径的方式。 与其他数据一起,它显示了多个攻击路径和扼流点,这些节点在图形或地图中形成瓶颈,攻击路径会聚合。 它将风险敞口数据可视化,使你能够查看哪些资产存在风险,以及确定重点的优先级。
安全建议:获取可作的建议以缓解潜在的攻击路径。
扼流点:攻击路径仪表板突出显示多个攻击路径相交的关键资产,并将其标识为关键漏洞。 通过关注这些扼流点,安全团队可以通过解决影响最大的资产来有效地降低风险。
- 标识:查看攻击路径仪表板上的扼流点列表。
- 分组:安全风险管理多个攻击路径在通往关键资产的路上流动或交叉的扼流点节点分组。
- 战略缓解:扼流点可见性使你能够战略性地集中缓解工作,通过保护这些关键点来解决多个攻击路径。
- 保护:确保扼流点安全可保护资产免受威胁。
爆炸半径:允许用户直观地从扼流点浏览风险最高的路径。 它提供详细的可视化效果,显示一个资产的泄露如何影响其他资产,使安全团队能够更有效地评估攻击的更广泛影响,并确定缓解策略的优先级。
云和本地攻击路径
云攻击路径
云攻击路径说明了攻击者可以利用的路线,以在环境中横向移动,从外部暴露开始,并逐步向环境中产生有意义的影响。 它们可帮助安全团队在攻击面中可视化真实世界风险并对其设置优先级,重点关注攻击者可能用来危害组织的外部驱动、可利用的威胁。 在 Defender 门户中集成 Defender for Cloud 后,云攻击路径可跨Azure、AWS 和 GCP 环境提供增强的可视化和分析功能。
云攻击路径反映了真实的、外部驱动和可利用的风险,帮助你消除干扰并加快行动速度。 这些路径侧重于外部入口点,以及攻击者如何在你的环境中前进,从而到达业务关键型目标。
全面的云覆盖范围:攻击路径扩展了云威胁检测,以涵盖广泛的云资源,包括存储帐户、容器、无服务器环境、未受保护的存储库、非托管 API 和 AI 代理。 每个攻击路径都是从真实的、可利用的弱点(如公开的终结点、错误配置的访问设置或泄露的凭据)构建的,确保识别到的威胁反映真正的风险方案。
高级验证:通过分析云配置数据并执行主动可访问性扫描,系统验证暴露是否可从外部环境访问,减少误报,并强调真实和可作的威胁。
本地攻击路径
攻击路径现在在到达最终游戏资产时自动终止, (域管理员、企业管理员、管理员或域控制器) 。 如果遭到入侵,这些资产可提供完整的域控制。 本地基础结构的攻击路径风险的可视化和优先级提供一致的清晰度,使安全团队能够专注于高影响场景并减少干扰