Del via

Oversikt – eksponeringsinnsikt

  • Artikkel

Eksponeringsinnsikt i Microsoft Security Exposure Management kontinuerlig aggregere sikkerhetsstillingsdata og innsikt på tvers av arbeidsbelastninger og ressurser, i ett enkelt datasamlebånd.

Eksponeringsinnsikt

Eksponeringsinnsikt gir rik kontekst rundt tilstanden til sikkerhetsstillingen til aktivabeholdningen.

Chief Information Security Officers (CISOer), beslutningstakere, risikoeiere og sikkerhetsteam kan bruke sikkerhetsinnsikt og kontekst til å forstå og håndtere eksponeringsrisiko på tvers av hele organisasjonen, og til å prioritere sikkerhetsinnsats og investeringer.

Eksponeringsinnsikt gir synlighet og detaljert kontekst rundt tilstanden til sikkerhetsstillingen. Innsikt gjør det mulig for deg å:

  • Bryt ned organisasjonens sikkerhetsstilling i håndterbare sikkerhetsprosjekter.
  • Administrer sikkerhetsprosjekter som sikkerhetsinitiativer i Security Exposure Management.
  • Se gjennom, mål og spor risikoeksponering for hvert sikkerhetsinitiativ.
  • Følg handlingsrettede anbefalinger og utbedringstrinn for å forbedre sikkerhetsstillingen og redusere risikoen.
  • Overvåk sikkerhetsstillingstilstand og forbedringer over tid.

Sikkerhetsinitiativer

Sikkerhetsinitiativer gir en enkel måte å vurdere sikkerhetsberedskapen for et bestemt sikkerhetsområde eller arbeidsbelastning på, og til å kontinuerlig spore og måle eksponeringsrisiko for dette området eller arbeidsmengden over tid.

Security Exposure Management tilbyr initiativer som for øyeblikket omfatter:

  • Arbeidsbelastningsinitiativer: Vurder og administrer risikoen knyttet til bestemte arbeidsbelastningsdomener, for eksempel sikkerhet for endepunkter, identitetsressurser og skyressurser.

  • Horisontale trusselinitiativer: Vurder og administrer risiko for bestemte trusselområder, for eksempel beskyttelse av løsepengevirus eller e-postkompromisse for bedrifter – økonomisk svindel.

  • Trusselanalyseinitiativer: Vurder trusselrisiko med initiativer som er basert på oppdatert forskning fra Microsofts trusselanalyse. Microsoft trusselanalyse er et sett med rapporter fra eksperter fra Microsofts sikkerhetsforskere som gir informasjon om reelle og relevante trusler. Disse trusselinitiativene fokuserer på:

    • Trusselaktører og trusselvektorer.
    • Trusselrapporter som har tre eller flere anbefalinger.

  • Null klareringsinitiativ: Vurder risikoen forbundet med null klareringssamsvar. Dette initiativet er i tråd med veiledningen fra rammeverket for innføring av null klarering.

Viktig

Initiativer som er i forhåndsversjon, merkes tilsvarende. Forhåndsversjonsinitiativer er fortsatt under utvikling, og kan endres.

Initiativelementer

Element Mål Detaljer
Initiativ Initiativer hjelper deg med å samle inn sikkerhetsprosjekter som har lignende ressurser og arbeidsbelastninger, og til å vurdere og utbedre sikkerhetsstillingen til hvert prosjekt. Hvert sikkerhetsinitiativ gir en all-up score som gir et raskt mål på hvor sterk sikkerhetsstilling er for initiativet på dagens tidspunkt.

Den fullstendige poengsummen gir også en målresultatindikator, antall kritiske aktiva som er berørt, og viser hvordan poengsummen har beveget seg i løpet av de siste 24 timene.
Metrisk Måledata i sikkerhetsinitiativer hjelper deg med å måle eksponeringsrisiko for ulike områder i initiativet. Hver metrikkverdi samler én eller flere anbefalinger for lignende ressurser.

Måledata kan knyttes til ett eller flere initiativer.

Viktig: Trusselanalyseinitiativer har ikke måledata. De har bare anbefalinger.
Anbefalinger Sikkerhetsanbefalinger hjelper deg med å forstå samsvarstilstanden for et bestemt sikkerhetsinitiativ. Alle sikkerhetsinitiativer har anbefalinger knyttet til seg.

Anbefalinger kan knyttes til ett eller flere initiativer.

I initiativer tilordnes anbefalinger en samsvarstilstand.
Hendelser Hendelser hjelper deg med å overvåke initiativendringer. Hendelser varsler deg når det er en nedgang i en altopprettet initiativpoengsum eller metrisk poengsum, noe som indikerer at eksponeringsrisikoen økte.

Arbeide med initiativer

Du kan prioritere hvilke initiativer du vil se på oversiktsinstrumentbordet . Se gjennom initiativpoengsummen, og drill ned i initiativer for å se tilknyttede måledata og forstå hvor hull eller risikoer befinner seg.

Arbeide med måledata

Måledata-fanen for et initiativ, eller i Måledata-delen av Eksponeringsinnsikt, kan du se måleverditilstanden, dens effekt og relativ viktighet i et initiativ, og anbefalinger for å forbedre måleverdien. For hver metrikkverdi kan du:

  • Se gjennom måledataegenskaper, inkludert:

    • Metrisk navn: Navnet på måleverdien.
    • Fremdrift: Viser forbedringen av eksponeringsnivået for måleverdien fra 0 (høy eksponering) til 100 (ingen eksponering).
    • Tilstand: Viser om måleverdien trenger oppmerksomhet, risikoen ble redusert utenfor Security Exposure Management og bør ikke påvirke initiativpoengsummen, eller om den ble redusert og initiativpoengsummen bør justeres tilsvarende.
    • Berørte ressurser: Antall aktiva i måleverdien. I de fleste tilfeller vil dette være ressurser som eksponeres, eller som skaper en risikofaktor. I andre tilfeller vil berørte ressurser være antall manglende Microsoft-sikre poengsumpoeng for effektivt å implementere anbefalte kontroller.
    • Totale aktiva: Totalt antall aktiva under metrisk omfang.
    • Anbefalinger: Sikkerhetsanbefalinger knyttet til måleverdien.
    • Vekt: Den relative vekten (viktigheten) av måleverdien i initiativet, og dens effekt på initiativpoengsummen. Vist som Høy, Middels og Lav. Det kan også defineres som risiko godtatt.
    • 14-dagers trend: Viser at måleverdien endres de siste 14 dagene.
    • Sist oppdatert viser den siste datoen måleverdien ble oppdatert.

  • Filtrer måledata for bestemte funn.

  • Drill ned i måledata for å se gjennom og løse tilknyttede problemer.

  • Foreslå nye måledata til produktteamet.

  • Tilpass vekten av en metrikkverdi slik at den har større eller mindre effekt i initiativet, basert på forretningsprioriteter. Redigering av en metrikkverdi påvirker alle initiativene som måleverdien er inkludert i. Når endringene er redigert, kan det ta opptil to timer før endringene gjenspeiles i måleverdien og relaterte initiativer.

Utilgjengelige måledata

I noen tilfeller vises måledata nedtonet fordi de underliggende dataene for måleverdien ikke finnes. Hvis for eksempel en nødvendig arbeidsbelastning ikke er pålastet, eller hvis en sikker måleverdi for poengsum er satt til fullført eller risiko godtas i sikker poengsum, og Security Exposure Management ikke får tilgang til metriske data.

Nedtonede måledata vurderes ikke for beregning av poengsum.

Obs!

Versjonskontrollfunksjonen i Exposure Management gir proaktive varsler til brukere om kommende versjonsoppdateringer, noe som gir avansert innsyn i de forventede metriske endringene og deres innvirkning på relaterte initiativer. Et dedikert sidepanel tilbyr flere detaljer om oppdateringen, inkludert den forventede datoen for endringen, produktmerknadene og gjeldende og nye metriske verdier, samt endringer i resultatene til de relaterte initiativene. Brukere kan dele tilbakemeldinger om oppdateringen direkte gjennom plattformen. Informasjonen er dynamisk og kan variere avhengig av når den åpnes.

Arbeide med anbefalinger

Security Exposure Management inntar sikkerhetsanbefalinger fra flere kilder, inkludert Microsoft Defender for Cloud som kjører Planen Defender for Cloud Security Posture Management (CSPM), Microsoft Secure Score, Microsoft Trusselanalyse og andre Microsoft-arbeidsbelastninger. Security Exposure Management integrerer alle disse anbefalingene i én enkelt sikkerhetskatalog.

  • Du kan vise anbefalinger fra Anbefalinger-fanen , eller se gjennom og utbedre anbefalinger innenfor et bestemt sikkerhetsinitiativ eller måleverdi.
  • Hver anbefaling gir utbedringstrinn for å løse oppdagede samsvarsproblemer.
  • Hver handling som utføres på en sikkerhetsanbefaling bidrar til å redusere eksponering og risiko, forbedre sikkerhetsstillingen og direkte påvirke relaterte sikkerhetsinitiativer og måledata.

Security Exposure Management kategoriserer anbefalinger etter samsvarsstatus, som følger:

  • Kompatibel: Angir at anbefalingen ble implementert.
  • Ikke klage: Indikerer at anbefalingen ikke er løst.
  • Redusert av organisasjonen: Viser når trinn for å redusere anbefalinger ble tatt andre steder, og Security Exposure Management kan ikke vite om anbefalingene er kompatible. For eksempel ved å endre en status i sikker poengsum.
  • Ikke tilgjengelig: Betyr at det ikke er nok informasjon til å bestemme samsvarsstatusen.

Skjermbilde av detaljer om anbefalt beskyttelse for løsepengevirus

Sikkerhetsvurdering

Microsoft Secure Score hjelper organisasjoner med å planlegge og forbedre den generelle sikkerhetsstillingen ved hjelp av den sikre poengsummen som en måleverdi for sporing.

Security Exposure Management bruker sikker poengsum som en av kildene for initiativresultater.

  • Sikker poengsum har anbefalte handlinger for en rekke produkter.
  • Når du velger en anbefaling som skal gjennomgås, kan du Security Exposure Management utbedre problemet i det bestemte produktet, inkludert anbefalinger som er avledet fra Sikker poengsum.
  • For anbefalinger der sikker poengsum er relevant, vises ikke anbefalingen hvis sikker poengsum ikke er aktiv.

Overvåke og forbedre resultater

Eksponeringstilstanden for et sikkerhetsinitiativ gjenspeiles i initiativpoengsummen.

  • Initiativer med måledata: For initiativer med måledata beregnes poengsummen basert på verdien og vekten av måledata i initiativet.
  • Initiativer uten måledata: For trusselinitiativer som ikke har måledata, beregnes initiativresultatet på samme måte som Sikker poengsum beregnes.

For initiativer med måledata:

  • Etter hvert som måledata forbedrer initiativpoengsummen, øker den for å gjenspeile en forbedret holdning til sikkerhetsinitiativet.
  • Måledata forbedres i stor grad ved å bruke anbefalingene som er knyttet til initiativet.
  • Endringer i måledata, inkludert nedgradering/fjerning, verdi og metriske egenskaper, kan påvirke initiativpoengsummen.

Gjennomgang av initiativlogg

Logg-fanen for et initiativ kan du:

  • Spor loggen over endringer som er større enn 2,5 % som påvirker initiativpoengsummen.
  • Filtrer for bestemte tidspunkter.
  • Drill ned til bestemte endringer.

Skjermbilde av Initiativlogg-fanen som viser grafen og datoene for endringer.

Når du driller ned i en bestemt endring, kan du se de prosentvise effektene av måledata i initiativresultatet, sammen med endringsårsaken. Årsakene omfatter:

  • Egenskapsendring – en endring i vekten av måleverdien i poengsummen.
  • Verdiendring – En endring i verdien av måleverdien i initiativpoengsummen.
  • Metrikkverdi fjernet – måleverdien er ikke lenger relevant for det bestemte initiativet. For eksempel, hvis et bedre forslag innføres eller det blir irrelevant.
  • Metrikkverdi avskrevet – måleverdien fjernes globalt.

Hvis du velger måleverdien som er endret, får du mer informasjon om endringen. Det kan for eksempel vise den nye vekten av en egenskapsendring, og antall berørte aktiva før og etter endringen. Det tilbyr også en rullegardinliste for endringer i eksponerte eiendeler, som viser opp til de 100 beste eiendelene og indikerer om aktivaeksponeringen ble lagt til eller fjernet.

Skjermbilde av det initative sidepanelet i loggen

Du kan ikke kontrollere måle- eller resultatendringene på forhånd.

Gjennomgang av hendelser

Hendelser måler resultatfallet eller forverres i målestatusen. Hendelser inkluderer:

  • Drop-hendelser for metriske poengsummer: Disse hendelsene er utstedt med en reduksjon på minst 2 % i metrisk poengsum (eksponeringen økte med 2 %) siden i går.
  • Initiative score drop events: These events are issued when there's a decrease of at least 2% in initiative score since yesterday.
  • Nytt initiativarrangement: Disse hendelsene utstedes når et nytt initiativ er tilgjengelig i MSEM.

Neste trinn