Microsoft 安全分數是衡量組織安全狀態的指標,數值越高表示建議採取的行動越多。 可在 Microsoft Defender 入口網站的 Microsoft Secure Score 找到。
遵循安全分數建議可保護貴組織免受威脅。 透過 Microsoft Defender 入口網站的集中式儀表板,組織可以監控並維護其 Microsoft 365 身份、應用程式及裝置的安全。
安全分數可協助組織:
- 報告組織安全性態勢的目前狀態。
- 提供可搜索性、可見度、指引和控制措施,以改善其安全性態勢。
- 與基準比較並建立關鍵績效指標 (KPI)。
觀看這支影片,快速了解 Secure 分數。
組織可取得強大的指標與趨勢視覺化、與其他 Microsoft 產品整合、與類似組織的分數比較,還有更多功能。 分數也可以反映非 Microsoft 解決方案何時針對建議行動進行。
運作方式
你因以下行動獲得分數:
- 配置推薦的安全功能
- 執行與安全相關的任務
- 以非 Microsoft 的應用程式或軟體,或其他緩解措施來處理建議行動
有些建議的行動只有在完全完成後才會獲得點數。 某些行動若完成某些裝置或使用者的任務,會獲得部分分數。 如果你無法或不願執行建議的行動之一,你可以選擇承擔風險或繼續承擔風險。
如果你有支援的 Microsoft 產品授權,你會看到這些產品的推薦。 我們會向您展示產品的完整可能推薦組合,無論授權版本、訂閱或方案為何。 這樣一來,你就能了解安全最佳實務並提升你的分數。 您的絕對安全防護,由 Secure Score 代表,無論您的組織擁有哪種特定產品的授權,都保持不變。 請記位,安全性應該與可用性達成平衡,並非每個建議都適用於您的環境。
您的分數會即時更新,以反映視覺化及建議行動頁面中呈現的資訊。 安全分數還會每天進行同步,以接收有關每個動作之得分的系統資料。
注意事項
對於 Microsoft Teams 和 Microsoft Entra 相關的建議,當設定狀態發生變更時,建議狀態也會更新。 此外,推薦狀態分別每月更新一次或每週一次。
重要案例
建議行動的評分方式
每個建議行動分數不超過10分,且大多數評分方式為二元制。 如果你執行建議的行動,比如建立新政策或開啟特定設定,就能獲得100%的分數。 其他建議行動則以總配置的百分比計算。
舉例來說,推薦的行動說你透過多重驗證保護所有用戶可獲得 10 分。 你只有100名用戶中有50名被保護,所以你會得到5分 (50名受保護/100分 * 100分 * 10分 × 5分) 。
Secure Score 包含的產品
目前有以下產品的推薦:
- 應用程式治理
- Microsoft Entra ID
- Citrix ShareFile
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 的 Microsoft Defender
- 文件簽名
- Exchange Online
- GitHub
- Microsoft Defender for Cloud Apps
- Microsoft Purview 資訊保護
- Microsoft Teams
- Okta
- Salesforce
- ServiceNow
- SharePoint Online
- 縮放
即將推出針對其他安全性產品的建議。 這些建議雖然無法涵蓋每款產品所有的攻擊面,但作為一個不錯的基準。 你也可以將推薦的行動標記為非 Microsoft 解決方案或替代緩解措施所涵蓋。
安全性預設
Microsoft 安全分數包含更新的建議行動,以支援 Microsoft Entra ID 的安全預設,讓您更容易透過預先設定的安全設定來保護組織,以應對常見攻擊。
如果你開啟安全預設,以下建議行動會獲得滿分:
- 確保所有使用者都能完成多重驗證,確保九點 (安全存取)
- 行政職位要求 MFA 學位, (10 分)
- 啟用政策阻擋舊有認證 (七點)
重要事項
安全預設包含提供與登入風險政策及使用者風險政策建議行動類似的安全功能。 我們建議不要在安全預設之上再設定這些政策,而是將它們的狀態更新為 Resolved through alternative mitigation。
安全分數權限
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
利用Microsoft Defender 全面偵測回應統一的角色基礎存取控制 (RBAC) 管理權限
利用 Microsoft Defender 全面偵測回應 Unified 基於角色的存取控制 (RBAC) ,你可以建立具有特定權限的自訂角色以使用 Secure Score。 這些權限位於統一 RBAC 權限模型中Defender 全面偵測回應安全態勢類別,名為 Exposure Management (用於唯讀存取的讀取) 以及 Exposure Management (管理) ,供有權限管理 Secure Score 建議的使用者使用。
為了讓使用者存取安全分數資料,Defender 全面偵測回應統一 RBAC 中應指派一個自訂角色,與 Microsoft 安全性暴露風險管理資料來源一起使用。
欲開始使用 Microsoft Defender 全面偵測回應 Unified RBAC 管理您的安全分數權限,請參閱 Microsoft Defender 全面偵測回應 Unified 角色基礎存取控制 (RBAC) 。
注意事項
Defender 全面偵測回應統一 RBAC 會自動啟用以存取安全分數。 一旦建立了帶有其中一個權限的自訂角色,會立即影響被指派的使用者。 沒必要啟動它。
目前,該模型僅支援於 Microsoft Defender 入口網站。 例如,如果你想用 GraphAPI (內部儀表板,或是 Defender for Identity Secure Score) ,你應該繼續使用 Microsoft Entra 角色。 支援 GraphAPI 計畫於稍後推出。
Microsoft Entra global roles permissions
Microsoft Entra全域角色 (例如,全球管理員) 仍可用來存取安全分數。 擁有支援Microsoft Entra全域角色,但未被指派為統一 RBAC 自訂角色Microsoft Defender 全面偵測回應仍可依照規定查看 (及管理安全分數資料) 權限:
以下角色擁有讀寫權限,能進行變更、直接與 Secure Score 互動,並可將唯讀權限分配給其他使用者:
- 全域系統管理員
- 安全性系統管理員
- Exchange 系統管理員
- Sharepoint 系統管理員
以下角色具備唯讀權限,無法編輯建議行動的狀態或備註、編輯分數區塊,或編輯自訂比較:
- 服務台系統管理員
- 使用者管理員
- 服務支援系統管理員
- 安全性讀取者
- 安全性操作員
- 全域讀取者
注意事項
如果你想遵循最低權限存取原則, (只給予使用者和群組權限,他們必須) 執行任務,Microsoft建議你移除所有現有的提升Microsoft Entra全域角色,以及/或被分配給自訂角色且擁有安全分數權限的安全群組。 這將確保自訂的 Microsoft Defender 全面偵測回應統一 RBAC 角色會生效。
風險意識
Microsoft 安全分數是根據系統設定、使用者行為和其他安全性相關度量的安全性態勢的數字摘要。 它並不是絕對衡量系統或資料被入侵機率的標準。 它代表的是您在 Microsoft 環境中使用安全控管的程度,這些措施能幫助抵銷被入侵的風險。 沒有任何線上服務能免於安全漏洞,安全分數不應被視為任何形式的安全漏洞保證。
我們想知道您的想法
如果你有任何問題,請在 Defender 全面偵測回應社群中告訴我們。
相關資源
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。