Freigeben über


Internetexpositionsanalyse

Mit der Internetexpositionsanalyse in Microsoft Defender for Cloud können Sie verstehen, welche Ihrer Multicloudressourcen im Internet verfügbar gemacht werden. Defender for Cloud nutzt Internetexposition, um das Risiko Ihrer Fehlkonfigurationen, Sicherheitsrisiken und anderer Probleme zu ermitteln.

So erkennt Defender for Cloud internetexposition

Defender for Cloud bewertet verbundene Cloudressourcen, um festzustellen, ob sie für die Internetexposition konfiguriert sind. Das Erkennen der Internetexposition kann einfach die Überprüfung umfassen, ob ein virtueller Computer (VM) eine öffentliche IP-Adresse (Internet Protocol) hat. Der Prozess kann jedoch auch komplexer sein. Defender for Cloud versucht, in komplexen Multicloudarchitekturen nach Ressourcen zu suchen, die im Internet verfügbar gemacht werden. Ein virtueller Computer kann beispielsweise nicht direkt im Internet verfügbar gemacht werden, sondern hinter einem Lastenausgleichsmodul stehen, das den Netzwerkdatenverkehr über mehrere Server verteilt, um sicherzustellen, dass einzelne Server nicht überfordert werden.

In der folgenden Tabelle sind die Ressourcen aufgeführt, deren Internetexposition Defender for Cloud bewertet:

Kategorie Dienste/Ressourcen
Virtuelle Computer Azure VM
Amazon Web Service (AWS) EC2
Google Cloud Platform (GCP) Compute-Instanz
VM-Cluster Azure-VM-Skalierungsgruppe
GCP-Instanzengruppen
Datenbanken (DB) Azure SQL
Azure PostgreSQL
Azure MySQL
Azure SQL Managed Instance
Azure MariaDB
Azure Cosmos DB
Azure Synapse
AWS Relational Database Service (RDS) DB
GCP SQL-Administratorinstanz
Storage Azure Storage
AWS S3-Buckets
GCP-Speicherbuckets
KI Azure OpenAI Service
Azure KI Services
Azure Cognitive Search
Container Azure Kubernetes Service (AKS)
AWS EKS
GCP GKE
API Azure API Management-Vorgänge

In der folgenden Tabelle sind die Netzwerkkomponenten aufgeführt, deren Internetexposition Defender for Cloud bewertet:

Kategorie Dienste/Ressourcen
Azure Anwendungsgateway
Load Balancer
Azure Firewall
Netzwerksicherheitsgruppen
AWS Elastic Load Balancer
GCP Load Balancer

Anzeigen von Ressourcen, die im Internet verfügbar gemacht werden

Defender for Cloud bietet verschiedene Möglichkeiten zum Anzeigen von im Internet verfügbar gemachten Ressourcen.

  • Cloudsicherheits-Explorer: Mit dem Cloudsicherheits-Explorer können Sie graphbasierte Abfragen für den Cloudsicherheitsgraph ausführen. Auf der Seite „Cloudsicherheits-Explorer” können Sie eine Abfrage ausführen, um Ressourcen zu finden, die im Internet verfügbar gemacht werden. Diese Abfrage gibt alle angefügten Ressourcen zurück, die im Internet verfügbar gemacht werden, und Sie können alle zugehörigen Details anzeigen.

  • Angriffspfadanalyse: Auf der Seite „Angriffspfadanalyse” können Sie Angriffspfade anzeigen, die ein Angreifer nutzen kann, um eine bestimmte Ressource zu erreichen. Mit der Angriffspfadanalyse können Sie eine visuelle Darstellung des Angriffspfads anzeigen und sehen, welche Ressourcen im Internet verfügbar gemacht werden. Internetexposition dient häufig als Einstiegspunkt für Angriffspfade, insbesondere, wenn die Ressource Sicherheitsrisiken aufweist. Im Internet verfügbar gemachte Ressourcen führen häufig zu Zielen mit vertraulichen Daten.

  • Empfehlungen: Defender for Cloud priorisiert Empfehlungen basierend auf ihrer Exposition im Internet.

Integration von Defender for External Attack Surface Management

Defender for Cloud ist auch in Defender External Attack Surface Management integriert, die Internetexposition von Ressourcen zu bewerten, indem versucht wird, sie von einer externen Quelle zu kontaktieren und festzustellen, ob sie antworten.

Erfahren Sie mehr über die Integration von Defender External Attack Surface Management.