Neuerungen in Microsoft Security Exposure Management
Microsoft Security Exposure Management (MSEM) befindet sich in der aktiven Entwicklung und wird kontinuierlich verbessert. Um über die neuesten Entwicklungen auf dem Laufenden zu bleiben, enthält diese Seite Informationen zu neuen Features, Fehlerbehebungen und veralteten Funktionen.
Diese Seite wird häufig mit den neuesten Updates in Microsoft Security Exposure Management aktualisiert.
Weitere Informationen zu MSEM finden Sie in den Blogs hier.
Tipp
Lassen Sie sich benachrichtigen, wenn diese Seite aktualisiert wird, indem Sie die folgende URL kopieren und in Ihren Feedreader einfügen:
https://aka.ms/msem/rss
Dezember 2024
Neue vordefinierte Klassifizierungen
Die folgenden vordefinierten Klassifizierungsregeln wurden der Liste der kritischen Ressourcen hinzugefügt:
| Klassifizierung | Beschreibung |
|---|---|
| Gesperrter Azure Kubernetes Service Cluster | Diese Regel gilt für Azure Kubernetes Service Cluster, die durch eine Sperre geschützt sind. |
| Azure Kubernetes Service-Cluster im Premium-Tarif | Diese Regel gilt für Den Premium-Tarif Azure Kubernetes Service Clustern. |
| Azure Kubernetes Service Cluster mit mehreren Knoten | Diese Regel gilt für Azure Kubernetes Service Cluster mit mehreren Knoten. |
| Azure Arc Kubernetes-Cluster mit mehreren Knoten | Diese Regel gilt für Azure Arc-Cluster mit mehreren Knoten. |
Weitere Informationen finden Sie unter Vordefinierte Klassifizierungen.
Neue Dokumentationsbibliothek für die Einheitliche Sicherheitsbetriebsplattform von Microsoft
Zentrale Dokumentation zur einheitlichen SecOps-Plattform von Microsoft finden Sie im Microsoft Defender-Portal. Die einheitliche SecOps-Plattform von Microsoft vereint alle Funktionen von Microsoft Sentinel, Microsoft Defender XDR, Microsoft Security Exposure Management und generativer KI im Defender-Portal. Erfahren Sie mehr über die Features und Funktionen der einheitlichen SecOps-Plattform von Microsoft, und beginnen Sie dann mit der Planung Ihrer Bereitstellung.
November 2024
Ankündigung der allgemeinen Verfügbarkeit von Microsoft Security Exposure Management
Wir freuen uns, die allgemeine Verfügbarkeit von Microsoft Security Exposure Management bekannt geben zu können. Dieses leistungsstarke Tool hilft Organisationen, sich auf ihre kritischsten Gefährdungen zu konzentrieren und schnell zu handeln. Durch die Integration von Sicherheitserkenntnissen in den gesamten digitalen Bestand bietet es einen umfassenden Überblick über den Risikostatus und ermöglicht schnellere und fundiertere Entscheidungen, um die Gefährdung zu reduzieren, bevor Angreifer sie ausnutzen können.
Mit diesem allgemein verfügbaren Release können Sie jetzt ein CTEM-Programm (Continuous Threat Exposure Management) erstellen und verbessern, um Risiken in Ihrer digitalen Landschaft kontinuierlich zu identifizieren, zu priorisieren und zu mindern.
Verbesserungen des Angriffspfads
Hybride Angriffspfade: Lokal in die Cloud
Wir unterstützen jetzt die Ermittlung und Visualisierung von hybriden Angriffspfaden, die aus lokalen Umgebungen stammen und in Cloudinfrastrukturen durchlaufen. Wir haben eine neue Spalte Typ für die Angriffspfade eingeführt, um die Unterstützung für Hybridpfade anzuzeigen, die zwischen lokalen umgebungen und Cloudumgebungen wechseln oder umgekehrt. Dieses Feature rüsten Sicherheitsteams für Folgendes aus:
- Identifizieren sie umgebungsübergreifende Angriffsvektoren: Erfahren Sie, wie Sicherheitsrisiken in lokalen Umgebungen genutzt werden können, um Ressourcen in der Cloud als Ziel zu verwenden.
- Effektive Priorisierung der Korrektur: Verschaffen Sie sich Klarheit über die potenziellen Risiken für kritische Cloudressourcen, die sich aus Ihrer Hybridinfrastruktur ergeben.
- Verbessern von Hybrid defense-Strategien: Nutzen Sie diese Erkenntnisse, um sowohl den lokalen als auch den Cloudsicherheitsstatus zu stärken.
Diese Funktion überbrückt eine kritische Lücke beim Schützen von Hybridumgebungen, indem sie einen End-to-End-Einblick in miteinander verbundene Angriffspfade bietet.
DACL-basierte Pfadanalyse
Unsere Angriffspfadberechnungen umfassen jetzt Unterstützung für discretionary Access Control Listen (DACLs), die eine genauere Darstellung potenzieller Angriffspfade durch Die Integration gruppenbasierter Berechtigungen bieten. Diese Erweiterung ermöglicht Verteidigern Folgendes:
- Treffen Sie fundiertere Entscheidungen, wenn Sie Risiken im Zusammenhang mit Berechtigungsstrukturen angehen.
- Sehen Sie risiken in der Umgebung auf die gleiche Weise wie Angreifer
- Identifizieren sie niedrig hängende Fruchtdrosselpunkte, die die Umgebung erheblich einem Risiko aussetzen
Weitere Informationen finden Sie unter Überprüfen von Angriffspfaden.
Externe Datenconnectors
Wir haben neue externe Datenconnectors eingeführt, um die Datenintegrationsfunktionen zu verbessern und eine nahtlose Erfassung von Sicherheitsdaten von anderen Sicherheitsanbietern zu ermöglichen. Daten, die über diese Connectors gesammelt werden, werden in unserem Expositionsdiagramm normalisiert, wodurch Ihr Gerätebestand verbessert, Beziehungen zugeordnet werden und neue Angriffspfade für eine umfassende Sichtbarkeit der Angriffsfläche offengelegt werden. Diese Connectors helfen Ihnen, Sicherheitsstatusdaten aus verschiedenen Quellen zu konsolidieren und einen umfassenden Überblick über Ihren Sicherheitsstatus zu erhalten.
Weitere Informationen finden Sie unter Übersicht über Datenconnectors.
Ermittlungsquellen, die in der Bestands- und Angriffsflächeskarte verfügbar sind
Auf der Geräteinventur und der Angriffsfläche werden nun die Datenquellen für jedes ermittelte Medienobjekt angezeigt. Dieses Feature bietet eine Übersicht darüber, welche Tools oder Produkte die einzelnen Ressourcen gemeldet haben, einschließlich Microsoft und externe Connectors wie Tenable oder ServiceNow CMDB. Verwenden Sie im Bestand die Spalte Ermittlungsquellen , um Geräte nach Berichtsquellen zu filtern. Schalten Sie in der Karte der Angriffsoberfläche die Ansicht Ermittlungsquellen mithilfe der Option Ebenen um. Sie können auch Ermittlungsquellen in der Tabelle "Geräteinformationen " über die erweiterte Suche abfragen.
Weitere Informationen zum Verstehen von Daten aus externen Quellen finden Sie unter Abrufen von Werten aus Ihren Datenconnectors.
OT-Sicherheitsinitiative
Die neue Sicherheitsinitiative operational technology (OT) bietet Praktikern ein leistungsfähiges Tool, um Risiken in der OT-Umgebung zu identifizieren, zu überwachen und zu mindern und so sowohl Betriebssicherheit als auch Sicherheit zu gewährleisten. Diese Initiative zielt darauf ab, Geräte an physischen Standorten zu identifizieren, die damit verbundenen Risiken zu bewerten und einen schnelleren und effektiveren Schutz für OT-Systeme bereitzustellen.
Weitere Informationen finden Sie unter Überprüfen von Sicherheitsinitiativen.
Microsoft Security Exposure Management wird jetzt in Microsoft Defender XDR Unified Role-Based Access Control (RBAC) unterstützt.
Die Zugriffssteuerung auf Microsoft Security Exposure Management kann jetzt mit Microsoft Defender XDR RBAC-Berechtigungsmodell (Unified Role-Based Access Control) mit dedizierten und präzisen Berechtigungen verwaltet werden.
Mit dieser neuen Funktion können Administratoren ihren Status-Managern Zugriff auf Daten und Erfahrungen mit dem Zugriff mit den geringsten Rechten statt auf die Microsoft Azure Entra ID-Rollen gewähren, die weiterhin unterstützt werden und bei Bedarf verwendet werden können.
Weitere Informationen zur Microsoft Security Exposure Management Zugriffsverwaltung mithilfe Microsoft Defender XDR einheitlichen RBAC-Berechtigungsmodells finden Sie unter Voraussetzungen und Support.
Weitere Informationen zum Erstellen neuer benutzerdefinierter Rollen in Microsoft Defender XDR Unified RBAC finden Sie unter Erstellen von benutzerdefinierten Rollen in Microsoft Defender XDR Unified RBAC.
Benachrichtigungen zur Inhaltsversionsverwaltung
Das neue Versionsverwaltungsfeature in Microsoft Security Exposure Management bietet proaktive Benachrichtigungen zu bevorstehenden Versionsupdates, sodass Benutzer einen erweiterten Einblick in erwartete Metrikänderungen und deren Auswirkungen auf ihre zugehörigen Initiativen erhalten. Ein dedizierter Seitenbereich enthält umfassende Details zu jedem Update, einschließlich des erwarteten Veröffentlichungsdatums, der Versionshinweise, der aktuellen und neuen Metrikwerte und aller Änderungen an den zugehörigen Initiativenbewertungen. Darüber hinaus können Benutzer direktes Feedback zu den Updates innerhalb der Plattform teilen, um eine kontinuierliche Verbesserung und Reaktionsfähigkeit auf die Benutzeranforderungen zu fördern.
Weitere Informationen zu Belichtungserkenntnissen finden Sie unter Übersicht – Erkenntnisse zur Belichtung.
Expositionsverlauf für Metriken
Der Benutzer kann Metrikänderungen untersuchen, indem er die Details zur Änderung der Ressourcengefährdung überprüft. Wenn Sie auf der Registerkarte Verlauf der Initiative eine bestimmte Metrik auswählen, können Sie nun die Liste der Ressourcen anzeigen, bei denen die Offenlegung entweder hinzugefügt oder entfernt wurde, sodass Sie einen klareren Einblick in die Expositionsverschiebungen im Laufe der Zeit erhalten.
Weitere Informationen finden Sie unter Überprüfen des Initiativverlaufs.
SaaS-Sicherheitsinitiative
Die SaaS-Sicherheitsinitiative bietet eine klare Übersicht über die SaaS-Sicherheitsabdeckung, Integrität, Konfiguration und Leistung. Durch Metriken, die sich über mehrere Domänen erstrecken, erhalten Sicherheitsmanager ein allgemeines Verständnis ihres SaaS-Sicherheitsstatus.
Weitere Informationen finden Sie unter SaaS-Sicherheitsinitiative.
Oktober 2024
Neu in Angriffspfaden
Wir haben vier neue Features eingeführt, die Ihr Sicherheitsmanagement und Ihre Bemühungen zur Risikominderung verbessern sollen. Diese Features bieten wertvolle Einblicke in die in Ihrer Umgebung identifizierten Angriffspfade, sodass Sie Strategien zur Risikominderung effektiv priorisieren und die Auswirkungen potenzieller Bedrohungen verringern können.
Die neuen Features umfassen:
- Angriffspfadwidget auf der Übersichtsseite für das Risikoverwaltung: Bietet Benutzern eine übersichtsbasierte Ansicht der ermittelten Angriffspfade. Es zeigt eine Zeitleiste neu identifizierter Pfade, wichtige Einstiegspunkte, Zieltypen und mehr an, um sicherzustellen, dass Sicherheitsteams über neue Bedrohungen auf dem Laufenden bleiben und schnell reagieren können.
- Angriffspfad Dashboard: Bietet eine allgemeine Übersicht über alle identifizierten Angriffspfade innerhalb der Umgebung. Dieses Feature ermöglicht es Sicherheitsteams, wertvolle Einblicke in die Arten der identifizierten Pfade, die wichtigsten Einstiegspunkte, Zielressourcen und vieles mehr zu erhalten, um die Bemühungen zur Risikominderung effektiv zu priorisieren.
- Drosselungspunkte: Hebt kritische Ressourcen hervor, die sich von mehreren Angriffspfaden überschneiden, und identifiziert sie als wichtige Sicherheitsrisiken innerhalb der Umgebung. Indem sie sich auf diese Drosselungspunkte konzentrieren, können Sicherheitsteams risiken effizient reduzieren, indem sie ressourcenreiche Ressourcen angehen und so verhindern, dass Angreifer verschiedene Pfade durchlaufen.
- Explosionsradius: Ermöglicht Benutzern, die Pfade von einem Drosselpunkt aus visuell zu untersuchen. Es bietet eine detaillierte Visualisierung, die zeigt, wie sich die Gefährdung einer Ressource auf andere auswirken könnte, sodass Sicherheitsteams die umfassenderen Auswirkungen eines Angriffs bewerten und Strategien zur Risikominderung effektiver priorisieren können.
Weitere Informationen finden Sie unter Übersicht über Angriffspfade.
September 2024
Neue Enterprise IoT-Sicherheitsinitiative
Mit dieser neuen Initiative bietet Enterprise IoT Security eine leistungsstarke Lösung, um nicht verwaltete IoT-Geräte zu identifizieren und Ihre Sicherheit zu erhöhen. Mit kontinuierlicher Überwachung, Sicherheitsrisikobewertungen und maßgeschneiderten Empfehlungen für Enterprise IoT-Geräte erhalten Sie einen umfassenden Einblick in die Risiken, die von diesen Geräten ausgehen. Diese Initiative hilft Ihnen nicht nur, die potenziellen Bedrohungen zu verstehen, sondern stärkt auch die Resilienz Ihrer organization bei derEntlastung.
Weitere Informationen finden Sie unter Überprüfen von Sicherheitsinitiativen.
Neue vordefinierte Klassifizierungen
Die folgende vordefinierte Klassifizierungsregel wurde der Liste der kritischen Ressourcen hinzugefügt:
| Klassifizierung | Beschreibung |
|---|---|
| Hyper-V Server | Diese Regel gilt für Geräte, die als Hyper-V-Server innerhalb einer Domäne identifiziert werden. Diese Server sind für die Ausführung und Verwaltung virtueller Computer in Ihrer Infrastruktur unerlässlich und dienen als Kernplattform für deren Erstellung und Verwaltung. |
Weitere Informationen finden Sie unter Vordefinierte Klassifizierungen.
Verbesserte Sichtbarkeit für bereichsbezogene Benutzer
Diese Änderung ermöglicht es Benutzern, denen nur Zugriff auf einige geräte des organization gewährt wurde, die Liste der betroffenen Ressourcen in Metriken, Empfehlungen, Ereignissen und dem Initiativverlauf innerhalb ihres spezifischen Bereichs anzuzeigen.
Weitere Informationen finden Sie unter Voraussetzungen und Support.
Proaktives Verwalten Ihres Sicherheitsstatus
Lesen Sie, wie die Tabellen ExposureGraphEdges und ExposureGraphNodes in Advanced Hunting Ihren Organisationen helfen, Ihren Sicherheitsstatus proaktiv zu verwalten und zu verstehen, indem Sie Ressourcenbeziehungen und potenzielle Sicherheitsrisiken analysieren.
Blog - Microsoft Security Exposure Management Graph: Priorisierung ist der König
Weitere Informationen finden Sie unter Abfragen des Enterprise-Expositionsdiagramms.
August 2024
Neue vordefinierte Klassifizierungen
Die folgenden vordefinierten Identitätsklassifizierungsregeln wurden der Liste der kritischen Ressourcen hinzugefügt:
| Klassifizierung | Beschreibung |
|---|---|
| Administrator für externe Identitätsanbieter | Diese Regel gilt für Identitäten, die der Rolle "Administrator für externe Identitätsanbieter" Microsoft Entra zugewiesen sind. |
| Domänennamenadministrator | Diese Regel gilt für Identitäten, die der rolle "Domänennamenadministrator" Microsoft Entra zugewiesen sind. |
| Permissions Management Administrator | Diese Regel gilt für Identitäten, die der rolle "Permissions Management-Administrator" Microsoft Entra zugewiesen sind. |
| Abrechnungsadministrator | Diese Regel gilt für Identitäten, die der rolle "Abrechnungsadministrator" Microsoft Entra zugewiesen sind. |
| Lizenzadministrator | Diese Regel gilt für Identitäten, die der rolle "Lizenzadministrator" Microsoft Entra zugewiesen sind. |
| Teams-Administrator | Diese Regel gilt für Identitäten, die der rolle "Teams-Administrator" Microsoft Entra zugewiesen sind. |
| External ID Benutzerflowadministrator | Diese Regel gilt für Identitäten, die der rolle "External ID Benutzerflowadministrator" Microsoft Entra zugewiesen sind. |
| External ID Benutzerflow-Attributadministrator | Diese Regel gilt für Identitäten, die der Rolle "External ID Benutzerflow-Attributadministrator" Microsoft Entra zugewiesen sind. |
| B2C IEF-Richtlinienadministrator | Diese Regel gilt für Identitäten, die der rolle "B2C-IEF-Richtlinienadministrator" Microsoft Entra zugewiesen sind. |
| Compliancedatenadministrator | Diese Regel gilt für Identitäten, die der rolle "Compliancedatenadministrator" Microsoft Entra zugewiesen sind. |
| Authentifizierungsrichtlinienadministrator | Diese Regel gilt für Identitäten, die der rolle "Authentifizierungsrichtlinienadministrator" Microsoft Entra zugewiesen sind. |
| Wissensadministrator | Diese Regel gilt für Identitäten, die der Rolle "Wissensadministrator" Microsoft Entra zugewiesen sind. |
| Wissensmanager | Diese Regel gilt für Identitäten, die der rolle "Wissens-Manager" Microsoft Entra zugewiesen sind. |
| Attributdefinitionsadministrator | Diese Regel gilt für Identitäten, die der rolle "Attributdefinitionsadministrator" Microsoft Entra zugewiesen sind. |
| Attributzuweisungsadministrator | Diese Regel gilt für Identitäten, die der Rolle "Attributzuweisungsadministrator" Microsoft Entra zugewiesen sind. |
| Identity Governance-Administrator | Diese Regel gilt für Identitäten, die der rolle "Identity Governance-Administrator" Microsoft Entra zugewiesen sind. |
| Cloud App Security Administrator | Diese Regel gilt für Identitäten, die der rolle "Cloud App Security-Administrator" Microsoft Entra zugewiesen sind. |
| Windows 365-Administrator | Diese Regel gilt für Identitäten, die der Microsoft Entra Rolle "Windows 365 Administrator" zugewiesen sind. |
| Yammer Administrator | Diese Regel gilt für Identitäten, die der rolle "Yammer Administrator" Microsoft Entra zugewiesen sind. |
| Authentifizierungserweiterungsadministrator | Diese Regel gilt für Identitäten, die der Rolle "Authentifizierungserweiterungsadministrator" Microsoft Entra zugewiesen sind. |
| Lebenszyklus-Workflows-Administrator | Diese Regel gilt für Identitäten, die der rolle "Lebenszyklusworkflowadministrator" Microsoft Entra zugewiesen sind. |
Weitere Informationen finden Sie unter Vordefinierte Klassifizierungen.
Neues Initiativereignis
Ein neuer Ereignistyp wurde erstellt, um Benutzer zu benachrichtigen, wenn MSEM eine neue Initiative hinzugefügt wird.
Weitere Informationen finden Sie unter Übersicht – Erkenntnisse zur Belichtung.
Neues aus dem Forschungsteam
Lesen Sie in diesem Blog mehr darüber, was das Forschungsteam bisher gemacht hat: Bridging the On-Premises to Cloud Security Gap: Cloud Credentials Detection
Juli 2024
Neue vordefinierte Klassifizierungen
Die folgenden vordefinierten Klassifizierungsregeln wurden der Liste der kritischen Ressourcen hinzugefügt:
| Klassifizierung | Beschreibung |
|---|---|
| Exchange | Diese Regel gilt für Geräte, die innerhalb einer Domäne als betriebsbereite Exchange-Server identifiziert werden. Diese Server enthalten möglicherweise vertrauliche Daten der organization. |
| VMware ESXi | Diese Regel gilt für Geräte, die als betriebsbereite ESXi-Server identifiziert werden. Diese Geräte können andere sensible oder kritische Geräte enthalten. |
| VMware vCenter | Diese Regel gilt für Geräte, die als betriebsbereites VMware vCenter identifiziert und häufig von Administratoren zum Verwalten der virtuellen Infrastruktur verwendet werden. |
| Identität mit privilegierter Azure-Rolle | Diese Regel gilt für Identitäten, die einer privilegierten Azure-Rolle über einen potenziell unternehmenskritischen Bereich zugewiesen sind. |
| Exchange-Administrator | Diese Regel gilt für Identitäten, die der rolle "Exchange-Administrator" Microsoft Entra zugewiesen sind. |
| SharePoint-Administrator | Diese Regel gilt für Identitäten, die der Microsoft Entra Rolle "SharePoint-Administrator" zugewiesen sind. |
| Complianceadministrator | Diese Regel gilt für Identitäten, die der rolle "Complianceadministrator" Microsoft Entra zugewiesen sind. |
| Gruppen Administrator | Diese Regel gilt für Identitäten, die der Rolle "Microsoft Entra Administrator Gruppen" zugewiesen sind. |
| Vertraulicher virtueller Azure-Computer | Diese Regel gilt für Azure Confidential Virtual Machines. |
| Gesperrter virtueller Azure-Computer | Diese Regel gilt für virtuelle Azure-Computer, die durch eine Sperre geschützt sind. |
| Virtueller Azure-Computer mit Hochverfügbarkeit und Leistung | Diese Regel gilt für Azure Virtual Machines, die Azure Storage Premium verwenden und mit einer Verfügbarkeitsgruppe konfiguriert sind. |
| Unveränderlicher Azure Storage | Diese Regel gilt für Azure-Speicherkonten, für die unveränderliche Unterstützung aktiviert ist. |
| Unveränderlicher und gesperrter Azure-Speicher | Diese Regel gilt für Azure-Speicherkonten, für die unveränderliche Unterstützung mit einer gesperrten Richtlinie aktiviert ist. |
| Virtueller Azure-Computer verfügt über einen kritischen angemeldeten Benutzer | Diese Regel gilt für Azure Virtual Machines mit einem kritischen Benutzer, der von Defender für Endpunkt mit benutzern mit hoher oder sehr hoher Wichtigkeit geschützt ist. |
| Azure Key Vaults mit vielen verbundenen Identitäten | Diese Regel gilt für Azure Key Vaults mit hohem Zugriff im Vergleich zu anderen, was auf eine kritische Workloadnutzung hinweist. |
Weitere Informationen finden Sie unter Vordefinierte Klassifizierungen.
Mai 2024
Integration in Threat Analytics
Neue Integration in Threat Analytics, um die Gruppe von Domänensicherheitsinitiativen mit bedrohungsbasierten Sicherheitsinitiativen zu verbessern. Diese Initiativen konzentrieren sich auf bestimmte Angriffstechniken und aktive Bedrohungsakteure, wie sie von erfahrenen Microsoft-Sicherheitsexperten gesehen und analysiert werden.
Blog - Reagieren auf bedrohungsbedingte Trends und Einführung von Zero Trust mit Exposure Management
Weitere Informationen finden Sie unter Überprüfen von Sicherheitsinitiativen.
Neue Expositionsmanagementtabellen
MSEM hat zwei neue leistungsstarke Tabellen in Advanced Hunting veröffentlicht: ExposureGraphNodes und ExposureGraphEdges.
Blog - Microsoft Security Exposure Management Graph: Die Leistung wird vorgestellt
Weitere Informationen finden Sie unter Abfragen des Enterprise-Expositionsdiagramms.
April 2024
Schutz kritischer Ressourcen
Microsoft Security Exposure Management führt einen kontextbezogenen risikobasierten Ansatz ein, mit dem Organisationen kritische Ressourcen effektiv identifizieren und priorisieren können. Durch die Bewertung potenzieller Gefährdungen in Echtzeit gewinnen Sicherheitsteams Klarheit und konzentrieren sich auf den Schutz ihrer digitalen Ressourcen.
Blog - Schutz kritischer Ressourcen mit Microsoft Security Exposure Management
Weitere Informationen finden Sie unter Übersicht über die Verwaltung kritischer Ressourcen.