Microsoft 安全性暴露風險管理中的攻擊路徑能幫助你主動識別並視覺化攻擊者可能利用漏洞、漏洞與錯誤配置,跨越端點、雲端環境及混合基礎架構的潛在路徑。 隨著 Defender for Cloud 在 Defender 入口網站的整合,攻擊路徑包含跨本地與雲端的混合情境,提供跨環境攻擊向量的全面可視化。 模擬攻擊路徑讓您能主動調查並修復整個數位資產中的潛在威脅。
必要條件
- 開始前先了解攻擊路徑。
- 檢視使用攻擊路徑所需的權限。
- 攻擊路徑的價值會根據所用資料來源而增加。 如果沒有可用的資料,或資料不反映你組織的環境,攻擊路徑可能就不會出現。 攻擊路徑可能無法完全代表:
- 如果你沒有為整合並代表在攻擊路徑中的工作負載定義授權,
- 如果你沒有完全定義關鍵資產。
- 你可能會看到一個空白的雲端攻擊路徑頁面,因為攻擊路徑著重於真實、外部驅動且可被利用的威脅,而非探索性的情境。 這有助於降低噪音並優先處理即將發生的風險。
攻擊路徑儀表板
儀表板提供環境中所有識別出的攻擊路徑的高階概覽。 它讓資安團隊能獲得對識別路徑類型、主要入口點、目標資產等的寶貴洞察,有助於有效優先排序風險緩解工作。 概述內容包括:
- 攻擊路徑隨時間的圖表
- 頂端瓶頸
- 頂尖攻擊路徑情境
- 主要目標
- 主要入場點
查看攻擊路徑
你可以從攻擊路徑儀表板存取 攻擊路徑 ,或選擇 攻擊面 -> 攻擊路徑。
要改變攻擊路徑的顯示方式,你可以選擇標題名稱,依特定欄位標題排序。
群組攻擊路徑
根據特定標準對攻擊路徑進行分組:
依攻擊路徑名稱、入口點、入口點類型、目標類型、風險等級、狀態、目標重要性、目標選擇群組來分組。
視角狹窄點與爆炸半徑
- 到瓶頸點分頁查看攻擊路徑儀表板上的瓶頸點列表。 專注於這些瓶頸點,你可以透過處理高影響力資產來降低風險,從而阻止攻擊者沿各種路徑前進。
- 選擇瓶頸點開啟側邊面板,選擇 「視爆炸半徑」,並從瓶頸點探索攻擊路徑。 爆炸半徑提供了詳細的視覺化,展示一項資產被入侵如何影響其他資產。 這使資安團隊能更有效地評估攻擊的廣泛影響,並優先處理緩解策略。
檢視攻擊路徑
選擇特定的攻擊路徑,進一步檢視是否有潛在可被利用的漏洞。
在 攻擊路徑 圖中,將滑鼠移到節點或邊緣 (連接器) 圖示上,即可查看攻擊路徑如何建立的額外資訊。 透過將 Defender for Cloud 整合進 Defender 入口網站,你可能會看到跨越多個環境的攻擊路徑——例如,攻擊路徑從被入侵的雲端虛擬機出發,經過相關身份,最終抵達本地網域控制器。 入口網站會在圖表視圖中顯示這些混合路徑,你可以選擇每個節點以取得詳細資料,並依照路徑上的每個暴露步驟進行修復。
評論建議
選擇「 建議 」標籤,可查看可執行的建議清單,以減輕已識別的攻擊路徑。
依標題排序推薦,或選擇特定推薦,即可開啟推薦畫面。
檢視建議細節,然後選擇 「管理 」以在正確的工作負載介面中修復該建議。
在曝光地圖中檢視攻擊路徑資產
要在暴露地圖中看到攻擊路徑資產的更廣泛圖像:
選擇 攻擊面 -> 攻擊路徑 -> 圖表 -> 地圖視圖。
你也可以從 地圖 中搜尋並選擇攻擊路徑中的資產並選擇它。 或者,從裝置清單中的資產選擇地圖中的檢視。
視需要探索連結。
後續步驟
了解 關鍵資產管理。