Vooraf gedefinieerde classificaties
Security Exposure Management biedt een out-of-the-box catalogus met vooraf gedefinieerde kritieke assetclassificaties voor assets die apparaten, identiteiten en cloudresources bevatten.
U kunt kritieke assets controleren en classificeren, en ze zo nodig in- en uitschakelen.
Gebruik de knop Feedback om nieuwe kritieke assetclassificaties voor te stellen.
Huidige assettypen zijn:
Opmerking
We maken ook gebruik van kritieke context die is opgehaald uit externe gegevensconnectors. Deze context wordt weergegeven als classificaties in de vooraf gedefinieerde classificatiebibliotheek voor activabeheer.
Apparaat
| Classificatie | Assettype | Standaardkritiekniveau | Beschrijving |
|---|---|---|---|
| Microsoft Entra ID Connect | Apparaat | Hoog | De Microsoft Entra ID Connect-server (voorheen bekend als AAD Connect) is verantwoordelijk voor het synchroniseren van on-premises directorygegevens en wachtwoorden naar de Microsoft Entra ID tenant. |
| ADCS | Apparaat | Hoog | Met ADCS-server kunnen beheerders een openbare-sleutelinfrastructuur (PKI) volledig implementeren en digitale certificaten uitgeven die kunnen worden gebruikt om meerdere resources in een netwerk te beveiligen. Bovendien kan ADCS worden gebruikt voor verschillende beveiligingsoplossingen, zoals SSL-versleuteling, gebruikersverificatie en beveiligde e-mail. |
| ADFS | Apparaat | Hoog | ADFS-server biedt gebruikers eenmalige aanmeldingstoegang tot systemen en toepassingen die zich buiten organisatiegrenzen bevinden. Het maakt gebruik van een op claims gebaseerd autorisatiemodel voor toegangsbeheer om toepassingsbeveiliging te onderhouden en federatieve identiteit te implementeren. |
| Backup | Apparaat | Gemiddeld | Back-upserver is verantwoordelijk voor het beveiligen van gegevens via regelmatige back-ups, waardoor gegevensbeveiliging en herstel na noodgevallen worden gegarandeerd. |
| Domein Beheer-apparaat | Apparaat | Hoog | Apparaten met domeinbeheerders zijn apparaten waarbij een of meer domeinbeheerders regelmatig zijn aangemeld. Op deze apparaten worden waarschijnlijk gerelateerde bestanden, documenten en referenties opgeslagen die worden gebruikt door de domeinbeheerders. Opmerking: We passen een logica toe om apparaten die deel uitmaken van een beheerder te identificeren op basis van meerdere factoren, waaronder het frequente gebruik van beheerprogramma's. |
| Domeincontroller | Apparaat | Zeer hoog | De domeincontrollerserver is verantwoordelijk voor gebruikersverificatie, autorisatie en gecentraliseerd beheer van netwerkresources binnen een Active Directory-domein. |
| DNS | Apparaat | Laag | De DNS-server is essentieel voor het omzetten van domeinnamen naar IP-adressen, waardoor netwerkcommunicatie en toegang tot resources zowel intern als extern mogelijk zijn. |
| Exchange | Apparaat | Gemiddeld | Exchange-server is verantwoordelijk voor al het e-mailverkeer binnen de organisatie. Afhankelijk van de installatie en architectuur kan elke server meerdere e-maildatabases bevatten die zeer gevoelige organisatiegegevens opslaan. |
| IT-Beheer-apparaat | Apparaat | Gemiddeld | Kritieke apparaten die worden gebruikt voor het configureren, beheren en bewaken van de assets binnen de organisatie, zijn essentieel voor IT-beheer en lopen een hoog risico op cyberbedreigingen. Ze vereisen beveiliging op het hoogste niveau om onbevoegde toegang te voorkomen. Opmerking: We passen een logica toe om apparaten die deel uitmaken van een beheerder te identificeren op basis van meerdere factoren, waaronder het frequente gebruik van beheerprogramma's. |
| Netwerkapparaat Beheer | Apparaat | Gemiddeld | Kritieke apparaten die worden gebruikt voor het configureren, beheren en bewaken van de netwerkassets binnen de organisatie, zijn essentieel voor netwerkbeheer en lopen een hoog risico op cyberbedreigingen. Ze vereisen beveiliging op het hoogste niveau om onbevoegde toegang te voorkomen. Opmerking: We passen een logica toe om apparaten die deel uitmaken van een beheerder te identificeren op basis van meerdere factoren, waaronder het frequente gebruik van beheerprogramma's. |
| VMware ESXi | Apparaat | Hoog | De VMware ESXi-hypervisor is essentieel voor het uitvoeren en beheren van virtuele machines binnen uw infrastructuur. Als bare-metal hypervisor vormt het de basis voor het maken en beheren van virtuele resources. |
| VMware vCenter | Apparaat | Hoog | De VMware vCenter Server is cruciaal voor het beheren van virtuele omgevingen. Het biedt gecentraliseerd beheer van virtuele machines en ESXi-hosts. Als dit mislukt, kan dit het beheer en de controle van uw virtuele infrastructuur verstoren, waaronder inrichting, migratie, taakverdeling van virtuele machines en automatisering van datacenters. Omdat er echter vaak redundante vCenter-servers en configuraties met hoge beschikbaarheid zijn, is het mogelijk dat alle bewerkingen niet onmiddellijk worden gestopt. De fout kan nog steeds aanzienlijke ongemakken en mogelijke prestatieproblemen veroorzaken |
| Hyper-V Server | Apparaat | Hoog | De Hyper-V-hypervisor is essentieel voor het uitvoeren en beheren van virtuele machines binnen uw infrastructuur en fungeert als het kernplatform voor het maken en beheren ervan. Als de Hyper-V-host uitvalt, kan dit ertoe leiden dat gehoste virtuele machines niet beschikbaar zijn, wat mogelijk downtime veroorzaakt en bedrijfsactiviteiten verstoort. Bovendien kan dit leiden tot aanzienlijke prestatievermindering en operationele uitdagingen. Het garanderen van de betrouwbaarheid en stabiliteit van Hyper-V-hosts is daarom essentieel voor het onderhouden van naadloze bewerkingen in een virtuele omgeving. |
Identiteit
| Classificatie | Assettype | Standaardkritiekniveau | Beschrijving |
|---|---|---|---|
| Identiteit met bevoorrechte rol | Identiteit | Hoog | De volgende identiteiten (gebruiker, groep, service-principal of beheerde identiteit) hebben een toegewezen ingebouwde of aangepaste bevoorrechte Azure RBAC-rol, binnen abonnementsbereik, met een kritieke resource. De rol kan machtigingen omvatten voor Azure-roltoewijzingen, het wijzigen van Azure-beleid, het uitvoeren van scripts op een VM met de opdracht Uitvoeren, leestoegang tot opslagaccounts en sleutelkluisjes, en meer. |
| Toepassingsbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. |
| Toepassingsontwikkelaar | Identiteit | Hoog | Identiteiten in deze rol kunnen toepassingsregistraties maken, onafhankelijk van de instelling 'Gebruikers kunnen toepassingen registreren'. |
| Verificatiebeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen de verificatiemethode (inclusief wachtwoorden) voor niet-beheerders instellen en opnieuw instellen. |
| Back-upoperators | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen een back-up maken van alle bestanden op een computer en deze herstellen, ongeacht de machtigingen die deze bestanden beveiligen. Back-upoperators kunnen zich ook aanmelden bij de computer en de computer afsluiten en back-up- en herstelbewerkingen uitvoeren op domeincontrollers. |
| Serveroperators | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen domeincontrollers beheren. Leden van de groep Serveroperators kunnen de volgende acties uitvoeren: interactief aanmelden bij een server, gedeelde netwerkbronnen maken en verwijderen, services starten en stoppen, back-up maken en herstellen van bestanden, de harde schijf van de computer formatteren en de computer afsluiten. |
| B2C IEF-sleutelsetbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen geheimen voor federatie en versleuteling in het Identity Experience Framework (IEF) beheren. |
| Cloudtoepassingsbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van app-registraties en bedrijfsapps maken en beheren, behalve app-proxy. |
| Cloudapparaatbeheerder | Identiteit | Hoog | Identiteiten in deze rol hebben beperkte toegang tot het beheren van apparaten in Microsoft Entra ID. Ze kunnen apparaten in Microsoft Entra ID inschakelen, uitschakelen en verwijderen en Windows 10 BitLocker-sleutels (indien aanwezig) in de Azure Portal lezen. |
| Beheerder van voorwaardelijke toegang | Identiteit | Hoog | Identiteiten in deze rol hebben de mogelijkheid om Microsoft Entra instellingen voor voorwaardelijke toegang te beheren. |
| Adreslijstsynchronisatieaccounts | Identiteit | Zeer hoog | Identiteiten in deze rol hebben de mogelijkheid om alle instellingen voor adreslijstsynchronisatie te beheren. Moet alleen worden gebruikt door Microsoft Entra Connect-service. |
| Schrijvers van adreslijsten | Identiteit | Hoog | Identiteiten in deze rol kunnen basismapgegevens lezen en schrijven. Voor het verlenen van toegang tot toepassingen, niet bedoeld voor gebruikers. |
| Domeinbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol zijn gemachtigd om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid zijn van een domein, inclusief de domeincontrollers. |
| Bedrijfsbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol hebben volledige toegang tot het configureren van alle domeincontrollers. Leden in deze groep kunnen het lidmaatschap van alle beheergroepen wijzigen. |
| Hoofdbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van Microsoft Entra ID- en Microsoft-services beheren die gebruikmaken van Microsoft Entra identiteiten. |
| Algemene lezer | Identiteit | Hoog | Identiteiten in deze rol kunnen alles lezen wat een globale beheerder kan, maar niets bijwerken. |
| Helpdeskbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen wachtwoorden opnieuw instellen voor niet-beheerders en helpdeskbeheerders. |
| Hybride identiteitsbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen Active Directory beheren voor Microsoft Entra cloudinrichting, Microsoft Entra Connect, passthrough-verificatie (PTA), wachtwoord-hashsynchronisatie (PHS), naadloze eenmalige aanmelding (naadloze eenmalige aanmelding) en federatie-instellingen. |
| Intune beheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van het Intune product beheren. |
| Ondersteuning voor partnerlaag 1 | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen wachtwoorden voor niet-beheerders opnieuw instellen, referenties voor toepassingen bijwerken, gebruikers maken en verwijderen en OAuth2-machtigingen verlenen. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Microsoft Entra ID. Niet gebruiken - niet bedoeld voor algemeen gebruik. |
| Ondersteuning voor partnerlaag 2 | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen wachtwoorden opnieuw instellen voor alle gebruikers (inclusief globale beheerders), referenties voor toepassingen bijwerken, gebruikers maken en verwijderen en OAuth2-machtigingen verlenen. Deze rol is afgeschaft en wordt in de toekomst verwijderd uit Microsoft Entra ID. Niet gebruiken - niet bedoeld voor algemeen gebruik. |
| Wachtwoordbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen wachtwoorden opnieuw instellen voor niet-beheerders en wachtwoordbeheerders. |
| Beheerder van bevoegde verificatie | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen informatie over de verificatiemethode voor elke gebruiker (beheerder of niet-beheerder) weergeven, instellen en opnieuw instellen. |
| Beheerder van bevoorrechte rol | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen roltoewijzingen in Microsoft Entra ID en alle aspecten van Privileged Identity Management beheren. |
| Beveiligingsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen beveiligingsgegevens en -rapporten lezen en de configuratie in Microsoft Entra ID en Office 365 beheren. |
| Beveiligingsoperator | Identiteit | Hoog | Identiteiten in deze rol kunnen beveiligingsevenementen maken en beheren. |
| Beveiligingslezer | Identiteit | Hoog | Identiteiten in deze rol kunnen beveiligingsgegevens en -rapporten lezen in Microsoft Entra ID en Office 365. |
| Gebruikersbeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van gebruikers en groepen beheren, inclusief het opnieuw instellen van wachtwoorden voor beperkte beheerders. |
| Exchange-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van het Exchange-product beheren. |
| SharePoint-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van de SharePoint-service beheren. |
| Beheerder voor naleving | Identiteit | Hoog | Identiteiten in deze rol kunnen nalevingsconfiguraties en -rapporten in Microsoft Entra ID en Microsoft 365 lezen en beheren. |
| Groepen-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen groepen en groepsinstellingen maken/beheren, zoals naamgevings- en verloopbeleidsregels, en groepsactiviteiten en controlerapporten weergeven. |
| Beheerder van externe id-provider | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen id-providers configureren voor gebruik in directe federatie. |
| Domeinnaambeheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen domeinnamen in de cloud en on-premises beheren. |
| Machtigingsbeheer beheerder | Identiteit | Zeer hoog | Identiteiten in deze rol kunnen alle aspecten van Microsoft Entra-machtigingsbeheer (EPM) beheren. |
| Factureringsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen algemene factureringsgerelateerde taken uitvoeren, zoals het bijwerken van betalingsgegevens. |
| Licentiebeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen productlicenties voor gebruikers en groepen beheren. |
| Teams-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen de Microsoft Teams-service beheren. |
| gebruikersstroombeheerder Externe ID | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van gebruikersstromen maken en beheren. |
| Beheerder van gebruikersstroomkenmerken Externe ID | Identiteit | Hoog | Identiteiten in deze rol kunnen het kenmerkschema maken en beheren dat beschikbaar is voor alle gebruikersstromen. |
| B2C IEF-beleidsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen beleidsregels voor het vertrouwensframework maken en beheren in het Identity Experience Framework (IEF). |
| Beheerder van nalevingsgegevens | Identiteit | Hoog | Identiteiten in deze rol kunnen nalevingsinhoud maken en beheren. |
| Verificatiebeleidsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen het beleid voor verificatiemethoden, tenantbrede MFA-instellingen, wachtwoordbeveiligingsbeleid en controleerbare referenties maken en beheren. |
| Kennisbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen kennis, leren en andere intelligente functies configureren. |
| Knowledge Manager | Identiteit | Hoog | Identiteiten in deze rol kunnen onderwerpen en kennis organiseren, maken, beheren en promoten. |
| Kenmerkdefinitiebeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen de definitie van aangepaste beveiligingskenmerken definiƫren en beheren. |
| Kenmerktoewijzingsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen sleutels en waarden voor aangepaste beveiligingskenmerken toewijzen aan ondersteunde Microsoft Entra-objecten. |
| Identity Governance-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen de toegang beheren met behulp van Microsoft Entra ID voor identiteitsbeheerscenario's. |
| Cloud App Security beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van het Defender for Cloud Apps product beheren. |
| Windows 365 beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van cloud-pc's inrichten en beheren. |
| Yammer-beheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen alle aspecten van de Yammer-service beheren. |
| Verificatie-uitbreidbaarheidsbeheerder | Identiteit | Hoog | Identiteiten in deze rol kunnen aanmeldings- en registratie-ervaringen voor gebruikers aanpassen door aangepaste verificatie-extensies te maken en te beheren. |
| Levenscycluswerkstromenbeheerder | Identiteit | Hoog | Identiteiten in deze rol maken en beheren alle aspecten van werkstromen en taken die zijn gekoppeld aan levenscycluswerkstromen in Microsoft Entra ID. |
Cloudresource
| Classificatie | Assettype | Standaardkritiekniveau | Beschrijving |
|---|---|---|---|
| Databases met gevoelige gegevens | Cloudresource | Hoog | Dit is een gegevensarchief dat gevoelige gegevens bevat. Vertrouwelijkheid van gegevens kan variƫren van geheimen, vertrouwelijke documenten, persoonsgegevens en meer. |
| Vertrouwelijke virtuele Azure-machine | Cloudresource | Hoog | Deze regel is van toepassing op virtuele Azure-machines met vertrouwelijke informatie. Vertrouwelijke VM's bieden meer isolatie, privacy en versleuteling en worden gebruikt voor kritieke of zeer gevoelige gegevens en workloads. |
| Vergrendelde virtuele Azure-machine | Cloudresource | Gemiddeld | Dit is een virtuele machine die wordt beveiligd door een vergrendeling. Vergrendelingen worden gebruikt om assets te beschermen tegen verwijdering en wijzigingen. Meestal gebruiken beheerders vergrendelingen om kritieke cloudassets in hun omgeving te beveiligen en te beschermen tegen onbedoelde verwijdering en onbevoegde wijzigingen. |
| Virtuele Azure-machine met hoge beschikbaarheid en prestaties | Cloudresource | Laag | Deze regel is van toepassing op virtuele Azure-machines die gebruikmaken van premium Azure-opslag en die zijn geconfigureerd met een beschikbaarheidsset. Premium-opslag wordt gebruikt voor machines met hoge prestatievereisten, zoals productieworkloads. Beschikbaarheidssets verbeteren de tolerantie en worden vaak aangegeven voor bedrijfskritieke VM's die hoge beschikbaarheid nodig hebben. |
| Onveranderbaar Azure Storage | Cloudresource | Gemiddeld | Deze regel is van toepassing op Azure-opslagaccounts waarvoor onveranderbaarheidsondersteuning is ingeschakeld. Onveranderbaarheid slaat zakelijke gegevens op in een WORM-status (Write Once Read Many) en geeft meestal aan dat het opslagaccount kritieke of gevoelige gegevens bevat die moeten worden beschermd tegen wijzigingen. |
| Onveranderbare en vergrendelde Azure Storage | Cloudresource | Hoog | Deze regel is van toepassing op Azure-opslagaccounts waarvoor onveranderbaarheidsondersteuning is ingeschakeld met een vergrendeld beleid. Onveranderbaarheid slaat zakelijke gegevens op in een write once read many (WORM). Gegevensbeveiliging wordt verbeterd met een vergrendeld beleid om ervoor te zorgen dat gegevens niet kunnen worden verwijderd of de bewaartijd wordt verkort. Deze instellingen geven meestal aan dat het opslagaccount kritieke of gevoelige gegevens bevat die moeten worden beveiligd tegen wijziging of verwijdering. Gegevens moeten mogelijk ook worden afgestemd op het nalevingsbeleid voor gegevensbeveiliging. |
| Virtuele Azure-machine met een kritieke gebruiker aangemeld | Cloudresource | Hoog | Deze regel is van toepassing op virtuele machines die worden beveiligd door Defender for Endpoint, waarbij een gebruiker met een hoog of zeer hoog kritiek niveau is aangemeld. De aangemelde gebruiker kan via een gekoppeld of geregistreerd apparaat, een actieve browsersessie of op een andere wijze worden gebruikt. |
| Azure-sleutelkluizen met veel verbonden identiteiten | Cloudresource | Hoog | Deze regel identificeert sleutelkluizen die kunnen worden geopend door een groot aantal identiteiten, in vergelijking met andere sleutelkluizen. Dit geeft vaak aan dat de Key Vault wordt gebruikt door kritieke workloads, zoals productieservices. |
| Vergrendeld Azure Kubernetes Service cluster | Cloudresource | Laag | Dit is een Azure Kubernetes Service cluster dat wordt beveiligd door een vergrendeling. Vergrendelingen worden gebruikt om assets te beschermen tegen verwijdering en wijzigingen. Meestal gebruiken beheerders vergrendelingen om kritieke cloudassets in hun omgeving te beveiligen en te beschermen tegen onbedoelde verwijdering en onbevoegde wijzigingen. |
| Premium-laag Azure Kubernetes Service-cluster | Cloudresource | Hoog | Deze regel is van toepassing op Azure Kubernetes Service clusters met clusterbeheer in de Premium-laag. Premium-lagen worden aanbevolen voor het uitvoeren van productie- of bedrijfskritieke workloads die hoge beschikbaarheid en betrouwbaarheid vereisen. |
| Azure Kubernetes Service cluster met meerdere knooppunten | Cloudresource | Hoog | Deze regel is van toepassing op Azure Kubernetes Service clusters met een groot aantal knooppunten. Dit geeft vaak aan dat het cluster wordt gebruikt voor kritieke workloads, zoals productieworkloads. |
| Azure Arc Kubernetes-cluster met meerdere knooppunten | Cloudresource | Hoog | Deze regel is van toepassing op Azure Arc Kubernetes-clusters met een groot aantal knooppunten. Dit geeft vaak aan dat het cluster wordt gebruikt voor kritieke workloads, zoals productieworkloads. |