適用於雲端的 Microsoft Defender 中的安全分數可協助您改善雲端安全性狀態。 安全分數將所有安全性結果彙總成單一分數,讓您可以速覽並評估目前的安全性狀態。 分數越高,識別的風險層級就越低。
當您在訂用帳戶開啟適用於雲端的 Defender 時,依照預設,會在訂用帳戶中套用 Microsoft 雲端安全性基準 (MCSB) 標準。 開始依據 MCSB 標準評估範圍中的資源。
MCSB 會根據評估結果發出建議。 只有來自 MCSB 的內建建議會影響安全分數。 目前,風險優先順序不會影響安全分數。
附註
兩種安全分數模型:Microsoft Defender for Cloud 現提供兩種不同的安全分數模型。 新的 雲端安全分數(風險導向) 可在 Microsoft Defender 入口網站取得,並整合資產風險因素與關鍵性,以提供更精確的優先排序。 經典 的安全分數 功能仍可在 Azure 入口網站中使用。 這些是完全不同的模型,計算和數值也不同。 欲了解更多新型號資訊,請參閱本文的 Defender 入口體驗 。
標示為 [預覽] 的建議不會包含在安全分數的計算中。 您仍應盡可能補救這些建議,以在預覽期間結束時計入您的分數。 預覽建議會標示圖示:
。
推薦成熟度[預覽]不會修改安全評分介面或權重模型,只會分類建議。 除了排除預覽推薦外,安全分數公式和介面值保持不變。
檢視安全分數
當您檢視適用於雲端的 Defender 概觀儀表板時,您可以檢視所有環境的安全分數。 儀表板會以百分比值顯示安全分數,並包含基礎值。
Azure 行動應用程式會以百分比值顯示安全分數。 點選以查看說明分數的詳細資料。
探索您的安全性態勢
適用於雲端的 Defender 中的 [安全性態勢] 頁面會顯示整體環境與每個環境的安全分數。
在此頁面上,您可以看到影響整體分數的訂用帳戶、帳戶和專案、狀況不良資源的相關資訊,以及相關建議。 您可以依環境進行篩選,例如 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Azure DevOps。 然後,您可以向下切入至每個 Azure 訂用帳戶、AWS 帳戶和 GCP 專案。
安全分數計算
在適用於雲端的 Defender 中的 [建議] 頁面上,[安全分數建議] 索引標籤會顯示 MCSB 中的合規性控制項對整體安全分數的影響。
適用於雲端的 Defender 會針對每個 Azure 訂用帳戶或每個 AWS 或 GCP 雲端連接器,每 8 小時計算一次每個控制項。
重要
控制項中的建議更新頻率高於控制項本身。 您可能會發現建議的資源計數與控制項的資源計數不一致。
控制的範例分數
下列範例著重於補救弱點的安全分數建議。
此範例說明建議中的下列欄位。
| 欄位 | 詳細資訊 |
|---|---|
| 補救弱點 | 探索和解決已知弱點的建議群組。 |
| 最高分數 | 完成控制項內所有建議可獲得的點數上限。 控制的最高分數表示該控制的相對重要性,且對於每個環境都是固定的。 使用此資料行中的值來判斷要先處理哪些問題。 |
| 目前分數 | 此控制項的目前分數。 目前分數 = [每個資源的分數] * [良好的資源數目] 每個控制項對總分數都有貢獻。 在此範例中,這個控制項對目前的總分貢獻 3.33 點。 |
| 可能增加的分數 | 控制項內您可用的剩餘點數。 如果您修復此控制項中的所有建議,則分數將會增加 4%。 潛在增加的分數 = [每個資源的分數] * [狀況不良的資源數目] |
| 深入解析 | 每個建議的額外詳細資料,例如: -
預覽建議:這項建議只有在正式推出時會影響安全分數。- 
修正程式:解決此問題。- 
強制執行:自動部署原則,以便在有人建立不符合規範的資源時修正此問題。- 
拒絕:防止建立含有此問題的新資源。 |
分數計算方程式
以下說明分數計算方式。
安全性控制項
判斷安全性控制項分數的方程式為:
每個控制項的目前分數都是該控制項內資源狀態的量值。 每個個別安全性控制項都對安全分數有所貢獻。 受到控制項中建議影響的每個資源,都對控制項的目前分數有所貢獻。 安全分數不包含預覽建議中找到的資源。
在下列範例中,最高分數 6 會除以 78,因為這是狀況良好和狀況不良的資源數總和。 因此,6 / 78 = 0.0769。 再乘以狀況良好的資源數目 (4),得到目前的分數:0.0769 * 4 = 0.31。
單一訂用帳戶或連接器
判斷單一訂用帳戶或連接器安全分數的方程式為:
此方程式與連接器的方程式相同,只是將訂用帳戶這個字取代為連接器這個字。
多個訂用帳戶和連接器
判斷多個訂用帳戶和連接器安全分數的方程式為:
多個訂用帳戶和連接器的合併分數會包含每個訂用帳戶和連接器的「權數」。 Defender for Cloud 會根據線性加權模型,根據每個訂閱(不含「不適用」資源)的健康與不良資源總數,來決定你的訂閱與連接器的相對權重。 每個訂閱與連接器的當前分數計算方式與單一訂閱或連接器相同,然後套用其權重(見方程式)。 如果某訂閱或連接器對某個控制點沒有任何評估(沒有健康或不健康的資源),該控制項將被排除在該訂閱或連接器的分數計算之外。 這種情況下,控制項的目前或最大可能分數都不會計入該訂用帳戶的分數。 介面中所顯示的整體安全分數並不是每個訂閱百分比或控制計數的簡單算術平均值;而是跨訂閱加權後的總和。 因此,UI 中顯示的每個控制點資源數無法用來手動重新計算多個訂閱的整體安全分數。
當您檢視多個訂用帳戶和連接器時,安全分數會評估所有已啟用原則中的所有資源,並加以分組。 分組會顯示這些資源如何共同影響每個安全性控制項的最高分。
提升安全分數
MCSB 是由一系列合規性控制項組成。 每個控制都是相關安全性建議的邏輯群組,而且會反映您的易受攻擊面。
若要了解組織保護每個受攻擊面的成效如何,請檢閱每個安全性控制的分數。 只有在您補救所有建議時,才會提升分數。
若要取得安全性控制的所有可能點數,您的所有資源都必須遵守安全性控制內的所有安全性建議。 例如,適用於雲端的 Defender 有多個如何保護管理連接埠的建議。 您必須補救所有建議,您的安全分數才會產生變化。
您可以使用下列其中一種方法來提升您的安全分數:
- 請補救建議清單中的安全性建議。 您可以針對每個資源手動補救每個建議,或使用 [修正] 選項 (可用時) 以快速解決多個資源的問題。
- 強制執行或拒絕提升分數的建議,並確保您的使用者不會建立對分數造成負面影響的資源。
安全分數控制項
下表列出適用於雲端的 Microsoft Defender 中的安全性控制項。 在每個控制項下,您可以看到當您為「所有」資源補救控制項中列出的「所有」建議時,能為安全分數增加的最高點數。
| 安全分數 | 安全性控制項 |
|---|---|
| 10 |
啟用 MFA:適用於雲端的 Defender 在 MFA 具有高價值。 使用這些建議有助於保護訂用帳戶的使用者。 有三種方式可啟用 MFA 並符合建議的規範:安全性預設值、每個使用者指派和條件式存取原則。 |
| 8 | 安全管理連接埠:暴力密碼破解攻擊通常是以管理連接埠為目標。 使用這些建議,以使用 Just-In-Time VM 存取和網路安全性群組這類工具來降低您的暴露程度。 |
| 6 | 套用系統更新:不套用更新會留下未修補的弱點,並造成容易受到攻擊的環境。 使用這些建議來維持營運效率、減少安全性弱點,並為使用者提供更穩定的環境。 若要部署系統更新,您可以使用 Azure 更新管理員來管理電腦的修補程式和更新。 |
| 6 | 補救弱點:弱點評估工具將弱點回報給適用於雲端的 Defender 時,適用於雲端的 Defender 會以建議的形式呈現發現結果和相關資訊。 使用這些建議,來補救已識別的弱點。 |
| 4 | 補救安全性組態:設定錯誤的 IT 資產被攻擊的風險較高。 使用這些建議,以強化基礎結構中識別到的錯誤設定。 |
| 4 | 管理存取權和權限:安全性計畫的核心是確保您的使用者剛好擁有執行其工作所需的存取權即可:最低權限存取模型。 使用這些建議來管理您的身分識別和存取需求。 |
| 4 | 啟用待用加密:使用這些建議,可確保您降低保護已儲存資料時發生設定錯誤的風險。 |
| 4 | 加密傳輸中資料:使用這些建議有助於保護在元件、位置或程式之間移動的資料。 這類資料容易受到中間人攻擊、竊聽和工作階段劫持。 |
| 4 |
限制未經授權的網路存取:Azure 提供一套工具,協助您為網路存取提供高安全性標準。 使用這些建議來管理適用於雲端的 Defender 中的自適性網路強化,確保為所有相關的平台即服務 (PaaS) 服務設定了 Azure Private Link,在虛擬網路上啟用 Azure 防火牆等等。 |
| 3 | 套用自適性應用程式控制:自適性應用程式控制是一種智慧型且自動化的端對端解決方案,可控制哪些應用程式可以在您的電腦執行。 它也有助於強化機器,防範惡意程式碼的攻擊。 |
| 2 | 保護應用程式防範 DDoS 攻擊:Azure 的進階網路安全性解決方案包括 Azure DDoS 保護、Azure Web 應用程式防火牆,以及適用於 Kubernetes 的 Azure 原則附加元件。 使用這些建議,有助於使用這些工具及其他工具來保護應用程式。 |
| 2 |
啟用端點保護:適用於雲端的 Defender 會檢查您組織的端點是否有使用中的威脅偵測和回應解決方案,例如適用於端點的 Microsoft Defender 或此清單顯示的任何主要解決方案。 如果未啟用任何端點偵測及回應 (EDR) 解決方案,請使用這些建議來部署適用於端點的 Microsoft Defender。 適用於端點的 Defender 包含在適用於伺服器的 Defender 方案中。 此控制中的其他建議可協助您部署代理程式及設定檔案完整性監視。 |
| 1 | 啟用稽核和記錄:詳細記錄是事件調查和其他許多疑難排解作業的重要步驟。 此控制項中的建議著重於確保您已在相關時啟用診斷記錄。 |
| 0 | 啟用增強的安全性功能:使用這些建議來啟用任何適用於雲端的 Defender 方案。 |
| 0 | 實作安全性最佳做法:這組建議集合對於組織的安全性很重要,但不會影響您的安全分數。 |
追蹤你的安全分數
您可以透過 Azure 入口網站或以下章節以程式化方式查詢您的整體安全分數及訂閱分數:
小提示
關於分數計算的詳細說明,請參見 「計算——理解你的分數」。
從入口網站取得你的安全分數
Defender for Cloud 會在 Azure 入口網站中顯眼顯示你的分數。 當你在總覽頁面選擇安全分數圖塊時,會跳到專門的安全分數頁面,看到分數依訂閱分類。 選擇單一訂閱,即可查看詳細的優先推薦清單,以及修復這些建議對訂閱評分可能產生的影響。
您的安全分數會在 Defender for Cloud 的 Azure 入口網站頁面中顯示:
在 Defender for Cloud Overview(主儀表板)的圖塊中:
在專門的 Secure 分數 頁面中,您可以查看訂閱及管理群組的安全分數:
附註
如您有任何權限不足的管理群組,分數將顯示為「受限」。
在推薦頁面的頂部:
從 REST API 取得你的安全分數
你可以透過安全分數 API 存取你的分數。 API 方法提供的靈活性可讓您查詢資料,並隨著長期使用而建立起自己的安全分數報告機制。 例如,你可以使用 Secure Scores API 取得特定訂閱的分數。 此外,您也可以使用 安全分數控制 API 來列出您的訂閱安全控制及當前分數。
關於建立在安全分數 API 之上的工具範例,請參閱 我們 GitHub 社群的安全分數區。
從 Azure 資源圖取得你的安全分數
Azure Resource Graph 提供跨雲端環境的即時資源資訊存取,具備強大的過濾、分組與排序功能。 這種快速且有效率的方式,可讓您透過程式設計方式對 Azure 訂用帳戶或從 Azure 入口網站中查詢資訊。 深入了解 Azure Resource Graph。
使用 Azure Resource Graph 存取多個訂閱的安全性評分:
從 Azure 入口網站開啟 Azure Resource Graph Explorer。
輸入你的 Kusto 查詢(請參考以下範例作為指引)。
此查詢會回傳訂閱ID、目前分數(以點數和百分比計)以及訂閱的最高分數。
SecurityResources | where type == 'microsoft.security/securescores' | extend current = properties.score.current, max = todouble(properties.score.max) | project subscriptionId, current, max, percentage = ((current / max)*100)此查詢會回傳所有安全控制的狀態。 每個控制點會顯示不健康資源數量、當前分數和最高分數。
SecurityResources | where type == 'microsoft.security/securescores/securescorecontrols' | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max | project SecureControl , unhealthy, currentscore, maxscore
請選擇執行查詢。
隨時間追蹤你的安全評分
活頁簿頁面的「長期安全分數」報告
Defender for Cloud 的活頁簿頁面包含一份現成報告,方便你視覺化追蹤訂閱分數、安全控制等。 在 建立豐富且互動式的雲端 Defender 數據報告中了解更多。
Power BI Pro 儀表板
如果你是 Power BI 用戶且擁有 Pro 帳號,可以使用 Power BI 的 Secure Score Over Time 儀表板來追蹤你的安全分數隨時間變化並調查任何變動。
小提示
您可以在 GitHub 上的 Microsoft Defender for Cloud 社群專區找到這個儀表板,以及其他用於程式化安全分數工作的工具: https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score
儀表板包含以下兩份報告,協助您分析安全狀態:
資源摘要 - 提供關於資源健康狀況的摘要資料。
安全分數摘要 -提供關於你分數進展的摘要資料。 使用「個別訂用帳戶的長期安全分數」圖表查看分數變化。 如果你發現分數有劇烈變化,請查看「偵測到可能影響你安全分數的變化」表,看看可能導致該變化的原因。 此表格呈現已刪除的資源、新部署的資源,或其安全狀態變更的資源,適用於其中一項建議。
後續步驟
附註
兩種安全分數模型:Microsoft Defender for Cloud 現提供兩種不同的安全分數模型。 新的 雲端安全分數(風險導向) 可在 Microsoft Defender 入口網站取得,並整合資產風險因素與關鍵性,以提供更精確的優先排序。 經典 的安全分數 功能仍可在 Azure 入口網站中使用。 這些是完全不同的模型,計算和數值也不同。 欲了解更多經典模式資訊,請參閱本文的 Azure 入口網站體驗 。
本功能目前為預覽狀態。 有關目前缺口與限制的詳細資訊,請參見 已知限制。
Defender 入口網站中的雲端安全分數
雲端安全分數(風險基礎)是評估您的雲端安全態勢。 這個分數讓你能客觀評估並監控你的雲端安全態勢,並衡量你的風險緩解努力。
雲端安全分數將資產風險因子與資產關鍵性納入計算,使分數更精確,並有助於更聰明地優先排序高風險等級建議。
雲端安全分數模型
雲端安全分數是根據雲端 Defender 中開放推薦的數量與風險等級來計算的。 要提升分數,請專注於風險較高的推薦,因為這些推薦對分數貢獻最大。
雲端安全分數公式
雲端安全分數範圍為0至100,100代表最佳安全狀態。 分數是所選資產分數的彙整。
計算特定組織在任何範疇的環境分數時,公式評估資產風險(可能性與影響的組合)。 對於每個資產,公式會計算該資產的建議風險等級加權平均值,同時考慮該資產的風險因子(例如網路暴露、資料敏感性等)以及資產對組織的重要性。
傳說(Cloud Secure Score 公式)
- n = 資產數量
- 關鍵性 = 組織的資產關鍵性
- Rec. Low = 低度風險等級的建議
- Rec. Medium = 中等風險等級的建議
- Rec. High = 高度風險等級的建議
- Rec. Critical = 重大風險等級的建議
存取雲端安全分數(Defender 入口網站)
安全分數整合於統一的 Microsoft Security 體驗中,提供一個單一入口,讓你了解身份、裝置、雲端應用程式、資料及基礎設施間的態勢。 雲端安全分數代表該更廣泛範圍內的雲端態勢元件。
雲端安全分數(雲端倡議)的導航路徑
- [暴露風險管理]>[安全分數]>檢視雲端行動
- 暴露管理>計畫> 檢視 Cloud 計畫
- 雲端基礎架構>概述> 頂尖指標卡或 安全態勢 小工具 > 檢視雲端倡議
倡議儀表板
請瀏覽「 暴露管理>倡議」 以取得整合的雲端安全態勢。 此儀表板彙整:
- 頂尖倡議及其相對地位
- 近期安全與曝險分數歷史(14 天趨勢)
- 跨域洞察(SaaS、端點、雲端、身份、勒索軟體防護)
- 針對工作負載的態勢數據,以追蹤整治進展的動能
開啟雲端倡議頁面
- 請參考 暴露管理>倡議。
- 選擇 雲端安全。
- 從側邊面板選擇 開啟倡議頁面。
- 檢視總覽儀表板的元素:
- 目前雲端安全分數
- 安全分數隨時間趨勢
- 依環境(Azure、AWS、GCP)提供安全分數,方便快速多雲比較
- 透過個別工作負載的安全分數,突顯主要工作負載類別的態勢差異
- 建議摘要
- 最常見的建議依關鍵性排序,聚焦於能帶來最大分數與風險降低影響的修復
附註
先前(經典的)安全分數仍可在 Azure 入口網站透過經典推薦檢視查看。 導航:Azure 入口網站 → Microsoft Defender for Cloud → 建議 → 切換到經典檢視。
Microsoft 安全分數脈絡
Microsoft 安全分數是一個更廣泛且統一的概念,涵蓋多個安全領域。 本頁聚焦於雲端安全分數(Defender for Cloud 中的雲端安全態勢管理)。 其他 Microsoft 的安全分數則會出現在 Microsoft 的安全入口網站中。
安全分數類型
| 分數類型 | 範圍 / 領域 | 原始來源產品與資料 |
|---|---|---|
| Microsoft 安全分數 | 身分識別態勢 | Microsoft Entra (Azure AD)建議 |
| 風險暴露安全分數 | 裝置/端點態勢 | Microsoft Defender for Endpoint(裝置配置、威脅防護) |
| 雲端安全分數 | 雲態勢(多雲) | Microsoft Defender for Cloud (Azure, AWS, GCP) |
附註
標記為 預覽 的推薦不會被納入安全分數計算。 您仍應盡可能補救這些建議,以在預覽期間結束時計入您的分數。 預覽建議會標示圖示:。
推薦成熟度[預覽]不會修改安全評分介面或權重模型,只會分類建議。 除了排除預覽推薦外,安全分數公式和介面值保持不變。