Microsoft 安全性暴露風險管理可確保您的業務關鍵資產安全且可用。 關鍵資產可協助 SOC 小組排定工作優先順序,以最大化改善組織安全性狀態的影響。 本文概述預設提供的內建重要資產分類器,這些分類器會由 Microsoft 安全性研究小組自動更新。
您可以 檢閱和分類關鍵資產,並視需要開啟和關閉它們。
若要建議新的關鍵資產分類,請使用 [意見反應] 按鈕。
目前的資產類型包括:
注意事項
重要資產現成可用的分類邏輯會根據從 Microsoft Defender 工作負載累積的資產行為,以及環境中設定的第三方整合來分類您的資產。
當多個分類規則套用至資產時,具有最高重要性層級的規則優先。 此分類會一直有效,直到資產不再符合該規則的準則為止,此時它會自動還原至下一個適用的分類層次。
裝置
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| Microsoft Entra ID Connect | 裝置 | 高 | Microsoft Entra ID Connect 伺服器負責將內部部署目錄資料和密碼同步處理至 Microsoft Entra ID 租用戶。 入侵可能會破壞身分同步,導致身份驗證問題和潛在的安全漏洞。 |
| Microsoft Entra ID 雲端同步 | 裝置 | 高 | Microsoft Entra ID 雲端同步代理程式負責使用輕量型基礎結構,將內部部署目錄資料同步處理至 Microsoft Entra ID 租用戶。 入侵可能會破壞身分同步,導致身份驗證問題和潛在的安全漏洞。 |
| ADCS | 裝置 | 高 | ADCS 伺服器允許管理員完全實施公開金鑰基礎設施 (PKI) 並頒發數位憑證以保護多個網路資源。 入侵可能會破壞 SSL 加密、使用者身份驗證和安全電子郵件,從而導致重大的安全漏洞。 |
| ADFS | 裝置 | 高 | ADFS 伺服器為使用者提供跨組織界限的系統和應用程式單一登入存取權。 它使用宣告型存取控制授權模型來維護應用程式安全性並實作同盟身分識別。 入侵可能會導致未經授權的存取和資料外洩。 |
| 備份 | 裝置 | 中 | 備份伺服器負責透過定期備份來保護數據,確保資料保護和災難復原準備就緒。 入侵可能會導致資料遺失並阻礙災難復原工作,從而影響業務連續性。 |
| 網域管理員裝置 | 裝置 | 高 | 網域管理員經常使用網域管理員,並可能儲存相關檔案、檔和認證。 入侵可能會導致未經授權存取管理工具和敏感資訊。 根據多種因素檢測到,包括頻繁使用管理工具。 |
| 網域控制站 | 裝置 | 非常高 | 網域控制站伺服器負責使用者驗證、授權,以及 Active Directory 網域內網路資源的集中管理。 |
| DNS | 裝置 | 低 | DNS 伺服器對於將網域解析為 IP 位址、實現網路通訊和內部和外部資源存取至關重要。 入侵可能會中斷網路通訊和資源存取。 |
| Exchange | 裝置 | 中 | Exchange 伺服器負責組織內的所有郵件流量。 視設定及架構而定,每部伺服器可能保留數個儲存高度機密組織資訊的郵件資料庫。 入侵可能會導致未經授權存取敏感資訊並中斷郵件服務。 |
| IT 管理員裝置 | 裝置 | 中 | 用於配置、管理和監控組織內資產的關鍵設備對於 IT 管理至關重要,並且面臨網路威脅的高風險。 它們需要頂級安全性來防止未經授權的存取。 入侵可能會導致未經授權存取管理工具和敏感資訊。 由多種因素檢測到,包括頻繁使用管理工具。 |
| 安全性作業管理員裝置 | 裝置 | 高 | 用於配置、管理和監控組織內安全性的關鍵裝置對於安全營運管理至關重要,並且面臨網路威脅的高風險。 它們需要頂級安全措施來防止未經授權的存取。 入侵可能會導致未經授權存取安全工具和敏感資訊。 由多種因素檢測到,包括頻繁使用管理工具。 |
| 網路管理員裝置 | 裝置 | 中 | 用於配置、管理和監控組織內網路資產的關鍵設備對於網路管理至關重要,並且面臨網路威脅的高風險。 它們需要頂級安全性來防止未經授權的存取。 入侵可能會導致未經授權存取網路工具和敏感資訊。 由多種因素檢測到,包括頻繁使用管理工具。 |
| VMware ESXi | 裝置 | 高 | VMware ESXi Hypervisor 對於在基礎架構中運行和管理虛擬機至關重要。 作為裸機管理程式,它為建立和管理虛擬資源提供了基礎。 入侵可能會中斷虛擬機器的操作和管理。 |
| VMware vCenter | 裝置 | 高 | VMware vCenter Server 對於管理虛擬環境至關重要。 它提供虛擬機器和 ESXi 主機的集中管理。 如果失敗,可能會中斷虛擬基礎架構的管理和控制,包括佈建、移轉、虛擬機器的負載平衡和資料中心自動化。 但是,由於通常存在備援的 vCenter Server 和高可用性組態,因此可能不會立即停止所有作業。 它的故障仍可能造成重大不便和潛在的效能問題。 |
| Hyper-V Server | 裝置 | 高 | Hyper-V Hypervisor 對於在基礎架構中運行和管理虛擬機至關重要,充當其創建和管理的核心平台。 如果 Hyper-V 主機發生故障,可能會導致託管虛擬機器不可用,從而可能導致停機並中斷業務營運。 此外,它還可能導致嚴重的效能下降和營運挑戰。 因此,確保 Hyper-V 主機的可靠性和穩定性對於在虛擬環境中維持無縫操作至關重要。 |
| SharePoint Server | 裝置 | 中 | SharePoint 伺服器負責跨團隊的安全內容管理、協作和文件共享。 它裝載組織內的內部網路入口網站和企業搜尋。 入侵可能會導致未經授權存取敏感資訊並中斷內容服務。 |
| 具有敏感性資訊 (Azure 文件資料庫驗證金鑰) 的裝置 | 裝置 | 高 | 已存取包含 Azure 文件資料庫驗證金鑰的文件的裝置,這些金鑰會識別為敏感性資料。 這些裝置在與敏感性內容互動時會自動分類為 [高重要性],並在連續 5 天不存取敏感性檔案後還原為其基準分類。 在這裡了解更多 |
| 具有敏感性資訊 (Azure Redis 快取連接字串) 的裝置 | 裝置 | 高 | 已存取包含 Azure Redis 快取連接字串文件的裝置,這些文件會識別為敏感性資料。 這些裝置在與敏感性內容互動時會自動分類為 [高重要性],並在連續 5 天不存取敏感性檔案後還原為其基準分類。 在這裡了解更多。 |
| 具有敏感性資訊 (Azure 儲存體帳戶金鑰) 的裝置 | 裝置 | 高 | 已存取包含 Azure 儲存體帳戶金鑰的文件的裝置,這些文件會識別為敏感性資料。 這些裝置在與敏感性內容互動時會自動分類為 [高重要性],並在連續 5 天不存取敏感性檔案後還原為其基準分類。 請到此處深入瞭解。 |
身分識別
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| 具有特殊許可權角色的身分識別 | 身分識別 | 高 | 下列身分識別 (使用者、群組、服務主體或受控識別) 在訂用帳戶範圍具有指派的內建或自訂特殊許可權 Azure RBAC 角色,其中包含重要資源。 角色可以包括 Azure 角色指派的許可權、修改 Azure 原則、使用 [執行] 命令在 VM 上執行指令碼、儲存體帳戶和金鑰保存庫的讀取存取權等等。 |
| 應用程式系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 |
| 應用程式開發人員 | 身分識別 | 高 | 此角色中的身分識別可以建立應用程式註冊,而不受「使用者可以註冊應用程式」設定的影響。 |
| 驗證管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以設定和重設驗證方法 (包括非管理員使用者) 的密碼。 |
| Backup Operators | 身分識別 | 非常高 | 此角色中的身分識別可以備份和還原電腦上的所有檔案,而不論保護這些檔案的權限為何。 備份操作員也可以登入並關閉電腦,並可以在網域控制站上執行備份和還原作業。 |
| 伺服器營運商 | 身分識別 | 非常高 | 此角色中的身分識別可以管理網域控制站。 伺服器操作員群組的成員可以採取下列動作:以互動方式登入伺服器、建立和刪除網路共用資源、啟動和停止服務、備份和還原檔案、格式化電腦的硬碟,以及關閉電腦。 |
| B2C IEF 金鑰集管理者 | 身分識別 | 高 | 此角色中的身分識別可以在 IEF (IEF) 中管理同盟和加密的秘密。 |
| 雲端應用程式系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以建立和管理應用程式註冊和企業應用程式的所有層面,但應用程式 Proxy 除外。 |
| 雲端裝置管理員 | 身分識別 | 高 | 此角色中的身分識別具有在 Microsoft Entra ID 中管理裝置的有限存取權。 他們可以在 Microsoft Entra ID 中啟用、停用和刪除裝置,並讀取Windows 10 BitLocker 金鑰 (如果存在) Azure 入口網站中。 |
| 條件式存取系統管理員 | 身分識別 | 高 | 此角色中的身分識別能夠管理 Microsoft Entra 條件式存取設定。 |
| 目錄同步處理帳戶 | 身分識別 | 非常高 | 此角色的身分識別能夠管理所有目錄同步設定。 應該僅由 Microsoft Entra Connect 服務使用。 |
| 目錄作者 | 身分識別 | 高 | 此角色中的身分識別可以讀取和寫入基本目錄資訊。 用於授予對不適用於使用者的應用程式的存取權。 |
| 網域系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別有權管理網域。 根據預設,Domain Admins 群組是已加入網域的所有電腦上 Administrators 群組的成員,包括網域控制站。 |
| 企業系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別具有設定所有網域控制站的完整存取權。 此群組中的成員可以修改所有管理群組的成員資格。 |
| 全域管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Microsoft Entra ID 的所有層面,以及使用 Microsoft Entra 身分識別的 Microsoft 服務。 |
| 全域讀取者 | 身分識別 | 高 | 此角色中的身分識別可以讀取全域系統管理員可以讀取的所有內容,但無法更新任何內容。 |
| 服務台系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以重設非系統管理員和技術支援人員系統管理員的密碼。 |
| 混合式身分識別管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Active Directory 以Microsoft Entra雲端佈建、Microsoft Entra連線、傳遞驗證 (PTA) 、密碼雜湊同步 (PHS) 、無縫單一登入 (無縫 SSO) ,以及同盟設定。 |
| Intune 系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Intune 產品的所有層面。 |
| 合作夥伴第 1 層支援 | 身分識別 | 非常高 | 此角色中的身分可以重設非管理員使用者的密碼、更新應用程式的認證、建立和刪除使用者,以及建立 OAuth2 權限授與。 此角色已被取代,未來將從 Microsoft Entra ID 中移除。 請勿使用 - 不適用於一般用途。 |
| 合作夥伴第 2 層支援 | 身分識別 | 非常高 | 此角色中的身分識別可以重設所有使用者的密碼 (包括全域系統管理員) 、更新應用程式的認證、建立和刪除使用者,以及建立 OAuth2 權限授與。 此角色已被取代,未來將從 Microsoft Entra ID 中移除。 請勿使用 - 不適用於一般用途。 |
| 密碼管理員 | 身分識別 | 非常高 | 此角色中的身分可以重設非管理員和密碼管理員的密碼。 |
| 特殊許可權驗證管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以檢視、設定和重設任何使用者 (管理員或非管理員) 的驗證方法資訊。 |
| 特殊權限角色管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Microsoft Entra ID 中的角色指派,以及 Privileged Identity Management 的所有層面。 |
| 安全性作業管理員使用者 | 身分識別 | 高 | 此角色的身分識別可以設定、管理、監視及回應組織內的威脅。 注意:此規則邏輯依賴預先定義的關鍵裝置分類「安全作業管理員裝置」。 |
| 安全性系統管理員 | 身分識別 | 高 | 此角色的身分識別可以讀取安全性資訊和報告,並管理 Microsoft Entra ID 和 Office 365 中的設定。 |
| 安全性操作員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理安全性事件。 |
| 安全性讀取者 | 身分識別 | 高 | 此角色的身分識別可以讀取 Microsoft Entra ID 和 Office 365 中的安全性資訊和報告。 |
| 使用者管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理使用者和群組的所有層面,包括重設受限系統管理員的密碼。 |
| Exchange 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Exchange 產品的所有層面。 |
| Sharepoint 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 SharePoint 服務的所有層面。 |
| 合規性系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以讀取和管理 Microsoft Entra ID 和 Microsoft 365 中的合規性設定和報告。 |
| 群組管理員 | 身分識別 | 高 | 此角色的身分識別可以建立/管理群組和群組設定,例如命名和到期原則,以及檢視群組活動和稽核報告。 |
| 外部身分識別提供者管理員 | 身分識別 | 非常高 | 此角色中的身分可以設定身分識別提供者以用於直接同盟。 這表示他們有權設定和管理組織的身分識別系統與外部身分識別提供者之間的連線。 此角色的入侵可能會導致未經授權的組態變更,進而影響聯合身分識別和存取管理。 這可能會導致對敏感系統和資料的未經授權的訪問,從而對組織的安全和營運構成嚴重風險。 |
| 網域名稱管理員 | 身分識別 | 非常高 | 此角色中的身分可以在雲端和內部部署環境中管理網域名稱。 網域對於網路通訊和資源存取至關重要。 此角色的洩露可能會導致未經授權的網域名稱更改,從而導致網路通訊中斷、流量誤導以及可能遭受網路釣魚攻擊。 這可能會嚴重影響組織有效運作和溝通的能力。 |
| 權限管理系統管理員 | 身分識別 | 非常高 | 此角色中的身分識別可以管理 Microsoft Entra 權限管理 (EPM) 的所有層面。 這包括設定和修改組織內使用者和資源的權限。 此角色的入侵可能會導致權限管理中未經授權的變更,從而影響存取控制和安全策略。 這可能會導致未經授權存取敏感資料和系統,從而對組織的安全和營運完整性構成重大風險。 |
| 計費管理員 | 身分識別 | 高 | 此角色中的身分識別可以執行常見的計費相關工作,例如更新付款資訊。 |
| 授權管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理使用者和群組的產品授權。 |
| Teams 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Microsoft Teams 服務。 |
| 外部 ID 使用者流程管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理使用者流程的所有層面。 |
| 外部 ID 使用者流程屬性管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理所有使用者流程可用的屬性結構描述。 |
| B2C IEF 原則管理員 | 身分識別 | 高 | 此角色中的身分可以在身分體驗架構 (IEF) 中建立和管理信任架構原則。 |
| 合規性資料系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理合規性內容。 |
| 驗證原則管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理驗證方法原則、全租用戶 MFA 設定、密碼保護原則和可驗證認證。 |
| 知識系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以設定知識、學習和其他智慧型功能。 |
| 知識管理員 | 身分識別 | 高 | 此角色的身分可以組織、建立、管理和推廣主題和知識。 |
| 屬性定義管理員 | 身分識別 | 高 | 此角色中的身分識別可以定義和管理自訂安全性屬性的定義。 |
| 屬性指派管理員 | 身分識別 | 高 | 此角色中的身分識別可以將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 |
| 身分識別控管管理員 | 身分識別 | 高 | 此角色中的身分識別可以使用 Microsoft Entra ID 來管理身分識別控管案例的存取權。 |
| 雲端 App 安全性系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Defender for Cloud Apps 產品的所有層面。 |
| Windows 365 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以佈建和管理雲端電腦的所有層面。 |
| Yammer 系統管理員 | 身分識別 | 高 | 此角色中的身分識別可以管理 Yammer 服務的所有層面。 |
| 驗證擴充性管理員 | 身分識別 | 高 | 此角色中的身分識別可以建立和管理自訂驗證延伸模組,以自訂使用者的登入和註冊體驗。 |
| 生命週期工作流程管理員 | 身分識別 | 高 | 此角色中的身分識別會建立和管理與 Microsoft Entra ID 中生命週期工作流程相關聯的工作流程和工作的所有層面。 |
| 技術) (高級行政人員 | 身分識別 | 非常高 | 具有此分類的身份屬於技術領域的高級管理人員。 |
| 財務 (高級行政人員) | 身分識別 | 非常高 | 具有此分類的身份屬於金融領域的高級管理人員。 |
| 高級行政人員 (運營) | 身分識別 | 非常高 | 具有此分類的身分屬於營運領域的高階主管。 |
| 高級行政人員 (營銷) | 身分識別 | 非常高 | 具有此分類的身份屬於營銷領域的高級管理人員。 |
| 資深行政人員 (資訊) | 身分識別 | 非常高 | 具有此分類的身份屬於信息領域的高級管理人員。 |
| 執行) 高級行政 (執行 | 身分識別 | 非常高 | 具有此分類的身分屬於執行領域的高階主管。 |
| 人力資源) 高級行政人員 (人力資源 | 身分識別 | 非常高 | 具有此分類的身分屬於人力資源領域的高階主管。 |
雲端資源
| 分類 | 資產類型 | 預設重要性層級 | 描述 |
|---|---|---|---|
| 包含敏感資料的資料庫 | 雲端資源 | 高 | 這是包含敏感資料的資料存放區。 資料的敏感性範圍包括機密、機密文件、個人識別資訊等。 |
| 機密 Azure 虛擬機器 | 雲端資源 | 高 | 此規則適用於 Azure 機密虛擬機器。 機密 VM 提供增強的隔離、隱私和加密,並用於重要或高度敏感的資料和工作負載。 |
| 鎖定的 Azure 虛擬機器 | 雲端資源 | 中 | 這是受鎖定保護的虛擬機器。 鎖定用於保護資產免遭刪除和修改。 通常,管理員會使用鎖定來保護其環境中的關鍵雲端資產,並保護它們免於意外刪除和未經授權的修改。 |
| 具有高可用性和效能的 Azure 虛擬機器 | 雲端資源 | 低 | 此規則適用於使用進階 Azure 儲存體並設定可用性設定組的 Azure 虛擬機器。 進階儲存體用於具有高效能需求的機器,例如生產工作負載。 可用性設定組可改善復原能力,而且通常適用於需要高可用性的業務關鍵性 VM。 |
| 不可變的 Azure 儲存體 | 雲端資源 | 中 | 此規則適用於已啟用不變性支援的 Azure 儲存體帳戶。 不變性會將商務資料儲存在寫入中,一旦讀取許多 (WORM) 狀態,通常表示儲存體帳戶保留必須保護免於修改的重要或敏感性資料。 |
| 不可變且鎖定的 Azure 儲存體 | 雲端資源 | 高 | 此規則適用於已啟用鎖定原則的不可變性支援的 Azure 儲存體帳戶。 不變性將業務資料儲存在一次寫入中,讀取許多 (WORM) 。 透過鎖定原則來加強資料保護,以確保資料無法刪除,或縮短其保留時間。 這些設定通常表示儲存體帳戶保留必須保護免於修改或刪除的重要或敏感性資料。 資料可能也需要符合資料保護的合規性原則。 |
| 具有重要使用者登入的 Azure 虛擬機器 | 雲端資源 | 高 | 此規則適用於受適用於端點的 Defender 保護的虛擬機器,其中具有高或非常高重要性層級的使用者會登入。 登入的使用者可以透過已加入或註冊的裝置、作用中的瀏覽器工作階段或其他方式。 |
| 具有許多連線身分識別的 Azure 金鑰保存庫 | 雲端資源 | 高 | 與其他金鑰保存庫相比,此規則會識別大量身分識別可存取的 Azure 金鑰保存庫。 這通常表示金鑰保存庫是由重要工作負載使用,例如生產服務。 |
| 具有大量作業的 Azure 金鑰保存庫 | 雲端資源 | 高 | 此規則會識別具有高作業磁碟區的 Azure 金鑰保存庫,並將其標示為重要。 這些指標醒目提示 Key Vault 對於安全性和作業穩定性至關重要。 |
| 鎖定的 Azure Kubernetes Service 叢集 | 雲端資源 | 低 | 這是受鎖定保護的 Azure Kubernetes Service 叢集。 鎖定用於保護資產免遭刪除和修改。 通常,管理員會使用鎖定來保護其環境中的關鍵雲端資產,並保護它們免於意外刪除和未經授權的修改。 |
| 進階層 Azure Kubernetes Service 叢集 | 雲端資源 | 高 | 此規則適用於具有進階層叢集管理的 Azure Kubernetes Service 叢集。 建議使用進階層來執行需要高可用性和可靠性的生產或任務關鍵性工作負載。 |
| 具有多個節點的 Azure Kubernetes Service 叢集 | 雲端資源 | 高 | 此規則適用於具有大量節點的 Azure Kubernetes Service 叢集。 這通常表示叢集用於關鍵工作負載,例如生產工作負載。 |
| 具有多個節點的 Azure Arc Kubernetes 叢集 | 雲端資源 | 高 | 此規則適用於具有大量節點的 Azure Arc Kubernetes 叢集。 這通常表示叢集用於關鍵工作負載,例如生產工作負載。 |