共用方式為

審查和分類關鍵資產

Microsoft 安全性暴露風險管理可確保您的業務關鍵資產安全且可用。 關鍵資產可協助 SOC 小組排定改善組織安全性狀態的優先順序。 專注於關鍵資產可確保最重要的資產免受資料外洩和營運中斷的風險。 本文說明如何使用重要資產。

資產重要性

資產重要性是衡量資產對組織營運和安全狀態的重要性的衡量標準。 它反映了其網路角色、生產環境和系統或子系統的組合。

顯示資產重要性的流程圖螢幕擷取畫面。

資產分為四個重要性等級:

  • 非常高 - 非常高的關鍵性資產對於您業務的生存和連續性至關重要。 他們的妥協可能會導致災難性的後果。
  • - 高重要性資產對於組織的核心營運至關重要。 他們的妥協可能會導致重大破壞。
  • - 中等重要性資產的影響中等,可能會影響某些功能或程序。
  • - 如果遭到入侵,低重要性資產對您的業務營運和安全性的影響最小。

關鍵性等級圖的螢幕截圖。

根據資產的重要性了解資產並對其進行分類有助於確定安全工作的優先順序,並確保最重要的資產獲得最高等級的保護。

影響分析和皇冠上的寶石分析是識別關鍵資產並確定其優先順序的重要方法。 美國國家標準與技術研究院 (NIST) 提供了關鍵性分析指南,可以在 NIST IR 8179 中找到。

CSF) 800-53 (NIST 網路安全框架也強調資產管理和關鍵性分析的指導,如 ID.AM-05 中所述,可在以下網址找到: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/

注意事項

當多個分類規則套用至資產時,具有最高重要性層級的規則優先。 此分類會一直有效,直到資產不再符合該規則的準則為止,此時它會自動還原至下一個適用的分類層次。

必要條件

開始之前,請確定您符合下列在 Microsoft 安全性暴露風險管理中使用重要資產的需求。

  • 開始之前,請先瞭解風險敞口管理中 的關鍵資產管理
  • 檢閱 使用重要資產所需的權限。
  • 若要讓安全性遙測支援 MSEM 使用案例,端點必須執行 10.3740.XXXX 版或更新版本的 適用於端點的 Microsoft Defender 代理程式。 建議您使用最新的代理程式版本,如適用於端點的 Defender 新增 功能頁面上所列。

您可以檢查裝置正在執行的代理程式版本,如下所示:

  • 在特定裝置上,瀏覽至 C:\Program Files\Windows Defender 進階威脅防護中的 MsSense.exe 檔案。 在檔案上按一下滑鼠右鍵,然後選取 [屬性]。[詳細資料] 索引標籤上,檢查檔案版本。

  • 針對多個裝置,執行 進階搜捕 Kusto 查詢 來檢查裝置感應器版本會比較容易,如下所示:

    DeviceInfo | project DeviceName, ClientVersion

檢閱重要資產

檢閱重要資產,如下所示。

  1. Microsoft Defender 入口網站中,選取 [設定>] [Microsoft 全面偵測回應 > 規則] > [重要資產管理]。

  2. 關鍵資產管理 頁面上,檢閱預先定義和自訂的關鍵資產分類,包括分類中的資產數目、資產是開啟還是關閉,以及重要性層級。

    [重要資產管理] 視窗的螢幕擷取畫面。

注意事項

您也可以在資產>裝置>分類重要資產中查看重要資產。 此外,您可以在 [曝光深入解析 -> 方案] 中檢視重要資產保護方案。

要求新的預先定義分類

向我們的研發團隊建議新的分類有助於擴展我們開箱即用的檢測,以包括可應用於整個生態系統的分類和角色。 這極大地增強了產品,而 Microsoft 完成了所有工作。

要求新的預先定義分類,如下所示:

  1. [ 重要資產管理 ] 頁面上,選取 [建議新分類]。
  2. 填寫您想要查看的分類,然後選取 [提交要求]。

建立自訂分類

自訂分類可讓您微調角色指派邏輯和重要性層級,以符合組織的重要性原則。 例如,對特定網路中的資產或資產類型進行分類,這些資產的重要性層級應與預設值不同。

建立自訂分類,如下所示:

  1. 關鍵資產管理頁面 上,選取 建立新分類。

  2. 在建立 重要資產分類 頁面上,完成下列資訊以設定分類準則:

    • 名稱 - 新的分類名稱。
    • 描述 - 新的分類描述。
    • 查詢產生器
      • 使用查詢產生器來定義新的分類,例如「將具有特定命名慣例的所有裝置標示為重要」。
      • 新增一或多個每個裝置、身分識別或雲端資源定義的布林篩選器。

    您建立重要資產分類的頁面螢幕擷取畫面。

  3. 設定條件之後,選取 [下一步]。

  4. 在下列頁面上,預覽受影響的資產,並指派重要性層級。

注意事項

在Microsoft Defender入口網站中,建立新的自訂重要資產分類時,查詢產生器僅支援身分識別型規則的 Active Directory (AD) 群組。 目前不支援 Microsoft Entra ID 群組。

設定關鍵資產層級

設定等級如下。

  1. 關鍵資產管理 頁面上,選取關鍵資產分類。

  2. 概觀 索引標籤中,選取所需的重要性層級。

  3. 選取 [儲存]

    關鍵資產管理重要性編輯功能的螢幕擷取畫面。

注意事項

您可以在裝置清單中手動設定嚴重層級。 我們建議建立重要性規則,以允許跨資產廣泛套用關鍵層級。

編輯自訂分類

編輯自訂分類,如下所示。

  1. [ 重要資產管理 ] 頁面上,瀏覽至您要修改的分類。 只能編輯或刪除自訂分類。
  2. 選取 [編輯]、[刪除][關閉]。

將資產新增至預先定義的分類

  1. 關鍵資產管理頁面 上,選取相關的資產分類。 [ 擱置核准 ] 欄可協助尋找資產的分類,這些資產不符合自動分類臨界值,且需要使用者核准。

    資產管理介面中預先定義分類的螢幕擷取畫面。

  2. 若要查看分類中目前被視為重要的所有資產,請選取 資產 索引標籤。

  3. 若要核准符合分類但超出臨界值的資產,請瀏覽至 待 核准

  4. 檢閱列出的資產。 選取您要新增的資產旁邊的 加號 按鈕。

    注意事項

    待核准」只會在有資產要檢閱時顯示。

    資產管理中待核准索引標籤的螢幕擷取畫面。

您可以變更重要性層級,並關閉所有資產的分類。 您也可以編輯和刪除自訂重要資產。

從預先定義的分類中移除已核准的資產

  1. 關鍵資產管理頁面 上,選取相關的資產分類。

  2. 若要查看分類中目前被視為重要的所有資產,請選取 資產 索引標籤。

  3. 選取您要移除的資產旁邊的 X

    資產管理中資產標籤的螢幕擷取畫面。

依重要性排序

  1. 裝置清單中選取裝置。

  2. 重要性層級 排序,以檢視重要性層級為「非常高」的業務關鍵資產。

    顯示重要性排序的裝置清單視窗的螢幕擷取畫面。

排定關鍵資產建議的優先順序

為了協助排定安全性建議的優先順序,以及著重於重要資產的補救步驟,您可以從 Microsoft Defender 入口網站的 [安全性建議] 頁面檢視建議的公開重要資產總和。

若要查看公開的重要資產總和,請移至 [安全性建議 ] 頁面:

安全性建議頁面上重要資產資料行的螢幕擷取畫面。

後續步驟

瞭解如何模擬 攻擊路徑

  • Last updated on