Předdefinované klasifikace
Správa míry rizika zabezpečení poskytuje předem připravený katalog předdefinovaných kritických klasifikací prostředků pro prostředky, které zahrnují zařízení, identity a cloudové prostředky.
Kritické prostředky můžete kontrolovat a klasifikovat a podle potřeby je zapínat a vypínat.
Pokud chcete navrhnout nové klasifikace kritických prostředků, použijte tlačítko Váš názor .
Typy aktuálních aktiv jsou:
Poznámka
Používáme také kontext důležitosti načtený z externích datových konektorů. Tento kontext bude prezentován jako klasifikace v předdefinované knihovně klasifikací správy důležitých prostředků.
Device
| Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
|---|---|---|---|
| Microsoft Entra ID Connect | Device | High (Vysoká) | Server Microsoft Entra ID Connect (dříve označovaný jako AAD Connect) zodpovídá za synchronizaci dat a hesel místního adresáře s tenantem Microsoft Entra ID. |
| ADCS | Device | High (Vysoká) | Server ADCS umožňuje správcům plně implementovat infrastrukturu veřejných klíčů (PKI) a vydávat digitální certifikáty, které lze použít k zabezpečení více prostředků v síti. ADCS je navíc možné použít pro různá řešení zabezpečení, jako je šifrování SSL, ověřování uživatelů a zabezpečený e-mail. |
| AD FS | Device | High (Vysoká) | Server AD FS poskytuje uživatelům přístup k systémům a aplikacím umístěným přes hranice organizace s jednotným přihlašováním. Používá model autorizace řízení přístupu na základě deklarací identity k zajištění zabezpečení aplikací a implementaci federované identity. |
| Zálohování | Device | Střední | Zálohovací server zodpovídá za ochranu dat prostřednictvím pravidelného zálohování a zajišťuje ochranu dat a připravenost na zotavení po havárii. |
| Zařízení Správa domény | Device | High (Vysoká) | Zařízení správce domény jsou zařízení, ke kterým je často přihlášen jeden nebo více správců domény. Na těchto zařízeních se pravděpodobně ukládají související soubory, dokumenty a přihlašovací údaje používané správci domény. Poznámka: Používáme logiku k identifikaci zařízení patřících správci na základě několika faktorů, včetně častého používání nástrojů pro správu. |
| Řadič domény | Device | Velmi vysoká | Server řadiče domény zodpovídá za ověřování uživatelů, autorizaci a centralizovanou správu síťových prostředků v rámci domény služby Active Directory. |
| DNS | Device | Nízký | Server DNS je nezbytný pro překlad názvů domén na IP adresy, což umožňuje síťovou komunikaci a přístup k prostředkům interně i externě. |
| Exchange | Device | Střední | Server Exchange zodpovídá za veškerý poštovní provoz v rámci organizace. V závislosti na nastavení a architektuře může každý server obsahovat několik poštovních databází, které ukládají vysoce citlivé informace organizace. |
| Zařízení Správa IT | Device | Střední | Kritická zařízení používaná ke konfiguraci, správě a monitorování prostředků v organizaci jsou nezbytná pro správu IT a jsou vystavena vysokému riziku kybernetických hrozeb. Vyžadují zabezpečení nejvyšší úrovně, aby se zabránilo neoprávněnému přístupu. Poznámka: Používáme logiku k identifikaci zařízení patřících správci na základě několika faktorů, včetně častého používání nástrojů pro správu. |
| Operace zabezpečení Správa zařízení | Device | High (Vysoká) | Kritická zařízení používaná ke konfiguraci, správě a monitorování zabezpečení v rámci organizace jsou nezbytná pro správu operací zabezpečení a jsou vysoce ohrožena kybernetickými hrozbami. Vyžadují opatření nejvyšší úrovně zabezpečení, aby se zabránilo neoprávněnému přístupu. Poznámka: Používáme logiku k identifikaci zařízení patřících správci na základě několika faktorů, včetně častého používání nástrojů pro správu. |
| Zařízení Správa sítě | Device | Střední | Kritická zařízení používaná ke konfiguraci, správě a monitorování síťových prostředků v organizaci jsou nezbytná pro správu sítě a jsou vystavena vysokému riziku kybernetických hrozeb. Vyžadují zabezpečení nejvyšší úrovně, aby se zabránilo neoprávněnému přístupu. Poznámka: Používáme logiku k identifikaci zařízení patřících správci na základě několika faktorů, včetně častého používání nástrojů pro správu. |
| VMware ESXi | Device | High (Vysoká) | Hypervisor VMware ESXi je nezbytný pro provoz a správu virtuálních počítačů v rámci vaší infrastruktury. Jako holý hypervisor poskytuje základ pro vytváření a správu virtuálních prostředků. |
| VMware vCenter | Device | High (Vysoká) | VMware vCenter Server je zásadní pro správu virtuálních prostředí. Poskytuje centralizovanou správu virtuálních počítačů a hostitelů ESXi. Pokud selže, může to narušit správu a kontrolu vaší virtuální infrastruktury, včetně zřizování, migrace, vyrovnávání zatížení virtuálních počítačů a automatizace datacenter. Vzhledem k tomu, že existují často redundantní servery vCenter a konfigurace vysoké dostupnosti, nemusí dojít k okamžitému zastavení všech operací. Jeho selhání může stále způsobovat značné potíže a potenciální problémy s výkonem. |
| Hyper-V Server | Device | High (Vysoká) | Hypervisor Hyper-V je nezbytný pro provozování a správu virtuálních počítačů v rámci vaší infrastruktury a slouží jako základní platforma pro jejich vytváření a správu. Pokud hostitel Hyper-V selže, může to vést k nedostupnosti hostovaných virtuálních počítačů, což může způsobit výpadky a narušit obchodní provoz. Kromě toho může vést k významnému snížení výkonu a provozním problémům. Zajištění spolehlivosti a stability hostitelů Hyper-V je proto důležité pro zachování bezproblémového provozu ve virtuálním prostředí. |
Identita
| Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
|---|---|---|---|
| Identita s privilegovanou rolí | Identita | High (Vysoká) | Následující identity (uživatel, skupina, instanční objekt nebo spravovaná identita) mají přiřazenou integrovanou nebo vlastní privilegovanou roli Azure RBAC v oboru předplatného, která obsahuje kritický prostředek. Role může zahrnovat oprávnění pro přiřazení rolí Azure, úpravy zásad Azure, spouštění skriptů na virtuálním počítači pomocí příkazu Spustit, přístup pro čtení k účtům úložiště a svazkům klíčů a další. |
| Správce aplikací | Identita | Velmi vysoká | Identity v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. |
| Vývojář aplikací | Identita | High (Vysoká) | Identity v této roli můžou vytvářet registrace aplikací nezávisle na nastavení Uživatelé můžou registrovat aplikace. |
| Správce ověřování | Identita | Velmi vysoká | Identity v této roli můžou nastavit a resetovat metodu ověřování (včetně hesel) pro uživatele bez oprávnění správce. |
| Backup Operators | Identita | Velmi vysoká | Identity v této roli můžou zálohovat a obnovovat všechny soubory v počítači bez ohledu na oprávnění, která tyto soubory chrání. Operátoři zálohování se také můžou přihlásit k počítači a vypnout ho a provádět operace zálohování a obnovení na řadičích domény. |
| Serverové operátory | Identita | Velmi vysoká | Identity v této roli můžou spravovat řadiče domény. Členové skupiny Operátoři serverů mohou provádět následující akce: interaktivně se přihlásit k serveru, vytvářet a odstraňovat sdílené síťové prostředky, spouštět a zastavovat služby, zálohovat a obnovovat soubory, formátovat jednotku pevného disku počítače a vypnout počítač. |
| Správce sady klíčů B2C IEF | Identita | High (Vysoká) | Identity v této roli můžou spravovat tajné kódy pro federaci a šifrování v architektuře Identity Experience Framework (IEF). |
| Správce cloudových aplikací | Identita | Velmi vysoká | Identity v této roli můžou vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací kromě proxy aplikací. |
| Správce cloudových zařízení | Identita | High (Vysoká) | Identity v této roli mají omezený přístup ke správě zařízení v Microsoft Entra ID. Můžou povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst Windows 10 klíče nástroje BitLocker (pokud existují) v Azure Portal. |
| Správce podmíněného přístupu | Identita | High (Vysoká) | Identity v této roli mají možnost spravovat Microsoft Entra nastavení podmíněného přístupu. |
| Účty synchronizace adresářů | Identita | Velmi vysoká | Identity v této roli mají možnost spravovat všechna nastavení synchronizace adresářů. Měla by být používána pouze službou Microsoft Entra Connect. |
| Tvůrci adresářů | Identita | High (Vysoká) | Identity v této roli můžou číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. |
| Správce domény | Identita | Velmi vysoká | Identity v této roli mají oprávnění ke správě domény. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích, které se připojily k doméně, včetně řadičů domény. |
| Podnikový správce | Identita | Velmi vysoká | Identity v této roli mají úplný přístup ke konfiguraci všech řadičů domény. Členové v této skupině můžou změnit členství ve všech skupinách pro správu. |
| Globální správce | Identita | Velmi vysoká | Identity v této roli můžou spravovat všechny aspekty Microsoft Entra ID a služeb Microsoftu, které používají Microsoft Entra identity. |
| Globální čtenář | Identita | High (Vysoká) | Identity v této roli můžou číst všechno, co může globální správce, ale ne aktualizovat nic. |
| Správce helpdesku | Identita | Velmi vysoká | Identity v této roli můžou resetovat hesla nesprávců a správců helpdesku. |
| Správce hybridní identity | Identita | Velmi vysoká | Identity v této roli můžou spravovat službu Active Directory pro Microsoft Entra zřizování cloudu, Microsoft Entra Connect, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. |
| správce Intune | Identita | Velmi vysoká | Identity v této roli můžou spravovat všechny aspekty Intune produktu. |
| Partneři z 1. vrstvy poskytující podporu | Identita | Velmi vysoká | Identity v této roli můžou resetovat hesla pro uživatele, kteří nejsou správci, aktualizovat přihlašovací údaje pro aplikace, vytvářet a odstraňovat uživatele a vytvářet udělení oprávnění OAuth2. Tato role je zastaralá a v budoucnu se z Microsoft Entra ID odebere. Nepoužívejte – není určeno pro obecné použití. |
| Partneři ze 2. vrstvy poskytující podporu | Identita | Velmi vysoká | Identity v této roli můžou resetovat hesla pro všechny uživatele (včetně globálních správců), aktualizovat přihlašovací údaje pro aplikace, vytvářet a odstraňovat uživatele a vytvářet udělení oprávnění OAuth2. Tato role je zastaralá a v budoucnu se z Microsoft Entra ID odebere. Nepoužívejte – není určeno pro obecné použití. |
| Správce hesel | Identita | Velmi vysoká | Identity v této roli můžou resetovat hesla pro nesprávce a správce hesel. |
| Správce privilegovaného ověřování | Identita | Velmi vysoká | Identity v této roli můžou zobrazovat, nastavovat a resetovat informace o metodách ověřování pro libovolného uživatele (správce nebo nesprávce). |
| Správce privilegovaných rolí | Identita | Velmi vysoká | Identity v této roli můžou spravovat přiřazení rolí v Microsoft Entra ID a všechny aspekty Privileged Identity Management. |
| Správce zabezpečení | Identita | High (Vysoká) | Identity v této roli můžou číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365. |
| Operátor zabezpečení | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat události zabezpečení. |
| Čtenář zabezpečení | Identita | High (Vysoká) | Identity v této roli můžou číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365. |
| Správce uživatelů | Identita | Velmi vysoká | Identity v této roli můžou spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. |
| Správce Exchange | Identita | High (Vysoká) | Identity v této roli můžou spravovat všechny aspekty produktu Exchange. |
| Správce SharePointu | Identita | High (Vysoká) | Identity v této roli můžou spravovat všechny aspekty služby SharePoint. |
| Správce dodržování předpisů | Identita | High (Vysoká) | Identity v této roli můžou číst a spravovat konfigurace a sestavy dodržování předpisů v Microsoft Entra ID a Microsoftu 365. |
| Správce skupin | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat skupiny a nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat sestavy aktivit skupiny a auditů. |
| Správce externího zprostředkovatele identity | Identita | Velmi vysoká | Identity v této roli můžou nakonfigurovat zprostředkovatele identit pro použití v přímé federaci. |
| Správce názvů domén | Identita | Velmi vysoká | Identity v této roli můžou spravovat názvy domén v cloudu i místně. |
| správce Správa oprávnění | Identita | Velmi vysoká | Identity v této roli můžou spravovat všechny aspekty Správa oprávnění Microsoft Entra (EPM). |
| Správce fakturace | Identita | High (Vysoká) | Identity v této roli můžou provádět běžné úlohy související s fakturací, jako je aktualizace platebních údajů. |
| Správce licencí | Identita | High (Vysoká) | Identity v této roli můžou spravovat licence na produkty pro uživatele a skupiny. |
| Správce Teams | Identita | High (Vysoká) | Identity v této roli můžou spravovat službu Microsoft Teams. |
| správce toku uživatelů Externí ID | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat všechny aspekty toků uživatelů. |
| správce atributů toku uživatele Externí ID | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat schéma atributů dostupné pro všechny toky uživatelů. |
| B2C IEF Policy Administrator | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat zásady architektury důvěryhodnosti v IEF (Identity Experience Framework). |
| Správce dat dodržování předpisů | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat obsah dodržování předpisů. |
| Správce zásad ověřování | Identita | High (Vysoká) | Identity v této roli můžou vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci celého tenanta, zásady ochrany heslem a ověřitelné přihlašovací údaje. |
| Správce znalostí | Identita | High (Vysoká) | Identity v této roli můžou konfigurovat znalosti, učení a další inteligentní funkce. |
| Knowledge Manager | Identita | High (Vysoká) | Identity v této roli můžou organizovat, vytvářet, spravovat a propagovat témata a znalosti. |
| Správce definic atributů | Identita | High (Vysoká) | Identity v této roli můžou definovat a spravovat definici vlastních atributů zabezpečení. |
| Správce přiřazení atributů | Identita | High (Vysoká) | Identity v této roli můžou přiřazovat vlastní klíče a hodnoty atributů zabezpečení podporovaným Microsoft Entra objektům. |
| Správce zásad správného řízení identit | Identita | High (Vysoká) | Identity v této roli můžou spravovat přístup pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit. |
| správce Cloud App Security | Identita | High (Vysoká) | Identity v této roli můžou spravovat všechny aspekty Defender for Cloud Apps produktu. |
| správce Windows 365 | Identita | High (Vysoká) | Identity v této roli můžou zřizovat a spravovat všechny aspekty cloudových počítačů. |
| Správce Yammeru | Identita | High (Vysoká) | Identity v této roli můžou spravovat všechny aspekty služby Yammer. |
| Správce rozšiřitelnosti ověřování | Identita | High (Vysoká) | Identity v této roli můžou uživatelům přizpůsobit prostředí pro přihlašování a registraci tím, že vytváří a spravuje vlastní rozšíření ověřování. |
| Správce pracovních postupů životního cyklu | Identita | High (Vysoká) | Identity v této roli vytvářejí a spravují všechny aspekty pracovních postupů a úkolů spojených s pracovními postupy životního cyklu v Microsoft Entra ID. |
Cloudový prostředek
| Klasifikace | Typ prostředku | Výchozí úroveň závažnosti | Popis |
|---|---|---|---|
| Databáze s citlivými daty | Cloudový prostředek | High (Vysoká) | Toto je úložiště dat, které obsahuje citlivá data. Citlivost dat může být v rozsahu tajných kódů, důvěrných dokumentů, identifikovatelných osobních údajů a dalších. |
| Důvěrné virtuální počítač Azure | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro důvěrné virtuální počítače Azure. Důvěrné virtuální počítače poskytují zvýšenou izolaci, ochranu osobních údajů a šifrování a používají se pro kritická nebo vysoce citlivá data a úlohy. |
| Uzamčený virtuální počítač Azure | Cloudový prostředek | Střední | Jedná se o virtuální počítač, který je chráněn zámkem. Zámky slouží k ochraně prostředků před odstraněním a úpravami. Správci obvykle používají zámky k ochraně důležitých cloudových prostředků ve svém prostředí a k ochraně před náhodným odstraněním a neoprávněnými úpravami. |
| Virtuální počítač Azure s vysokou dostupností a výkonem | Cloudový prostředek | Nízký | Toto pravidlo platí pro virtuální počítače Azure, které používají službu Azure Storage úrovně Premium a jsou nakonfigurované se sadou dostupnosti. Premium Storage se používá pro počítače s vysokými požadavky na výkon, jako jsou produkční úlohy. Skupiny dostupnosti zlepšují odolnost a často se označují pro důležité obchodní virtuální počítače, které potřebují vysokou dostupnost. |
| Neměnná služba Azure Storage | Cloudový prostředek | Střední | Toto pravidlo platí pro účty úložiště Azure, které mají povolenou podporu neměnnosti. Neměnnost ukládá obchodní data do stavu zápisu po přečtení N (WORM) a obvykle značí, že účet úložiště obsahuje kritická nebo citlivá data, která je potřeba chránit před úpravami. |
| Neměnné a uzamčené úložiště Azure | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro účty úložiště Azure, které mají povolenou podporu neměnnosti pomocí uzamčených zásad. Neměnnost ukládá obchodní data do zápisu po přečtení n (WORM). Ochrana dat se zvyšuje pomocí uzamčených zásad, aby se zajistilo, že data nelze odstranit nebo zkrátit dobu jejich uchovávání. Tato nastavení obvykle indikují, že účet úložiště uchovává důležitá nebo citlivá data, která je potřeba chránit před úpravami nebo odstraněním. Data můžou také potřebovat zajistit soulad se zásadami dodržování předpisů kvůli ochraně dat. |
| Virtuální počítač Azure s přihlášeným kritickým uživatelem | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro virtuální počítače chráněné defenderem for Endpoint, kde je přihlášený uživatel s vysokou nebo velmi vysokou úrovní důležitosti. Přihlášený uživatel může být prostřednictvím připojeného nebo registrovaného zařízení, aktivní relace prohlížeče nebo jiných prostředků. |
| Azure Key Vault s mnoha připojenými identitami | Cloudový prostředek | High (Vysoká) | Toto pravidlo identifikuje služby Azure Key Vault, ke kterým má v porovnání s jinými službami Key Vault přístup velký počet identit. Často to značí, že Key Vault používají kritické úlohy, jako jsou produkční služby. |
| Azure Key Vault s velkým počtem operací | Cloudový prostředek | High (Vysoká) | Toto pravidlo identifikuje služby Azure Key Vault s velkými objemy operací a označuje je jako kritické. Tyto metriky zvýrazňují trezory klíčů, které jsou nezbytné pro zabezpečení a provozní stabilitu. |
| Uzamčený cluster Azure Kubernetes Service | Cloudový prostředek | Nízký | Jedná se o cluster Azure Kubernetes Service, který je chráněn zámkem. Zámky slouží k ochraně prostředků před odstraněním a úpravami. Správci obvykle používají zámky k ochraně důležitých cloudových prostředků ve svém prostředí a k ochraně před náhodným odstraněním a neoprávněnými úpravami. |
| Cluster Azure Kubernetes Service úrovně Premium | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro Azure Kubernetes Service clustery se správou clusterů úrovně Premium. Úrovně Premium se doporučují pro spouštění produkčních nebo kritických úloh, které vyžadují vysokou dostupnost a spolehlivost. |
| Azure Kubernetes Service clusteru s více uzly | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro Azure Kubernetes Service clustery s velkým počtem uzlů. To často značí, že se cluster používá pro kritické úlohy, jako jsou produkční úlohy. |
| Cluster Azure Arc Kubernetes s více uzly | Cloudový prostředek | High (Vysoká) | Toto pravidlo platí pro clustery Azure Arc Kubernetes s velkým počtem uzlů. To často značí, že se cluster používá pro kritické úlohy, jako jsou produkční úlohy. |