Przegląd zaleceń dotyczących zabezpieczeń
W Microsoft Defender dla Chmury zasoby i obciążenia są oceniane pod kątem wbudowanych i niestandardowych standardów zabezpieczeń włączonych w subskrypcjach platformy Azure, kontach platformy AWS i projektach GCP. Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki rozwiązywania problemów z zabezpieczeniami i poprawy stanu zabezpieczeń.
Defender dla Chmury aktywnie wykorzystuje aparat dynamiczny, który ocenia zagrożenia w danym środowisku, biorąc pod uwagę potencjał wykorzystania i potencjalnego wpływu biznesowego na organizację. Aparat określa priorytety zaleceń dotyczących zabezpieczeń na podstawie czynników ryzyka poszczególnych zasobów, które są określane przez kontekst środowiska, w tym konfigurację zasobu, połączenia sieciowe i stan zabezpieczeń.
Wymagania wstępne
- Musisz włączyć CSPM w usłudze Defender w swoim środowisku.
Uwaga
Rekomendacje są domyślnie dołączane do Defender dla Chmury, ale nie będzie można zobaczyć priorytetyzacji ryzyka bez CSPM w usłudze Defender włączone w danym środowisku.
Przeglądanie szczegółów rekomendacji
Przed podjęciem próby zrozumienia procesu potrzebnego do rozwiązania zalecenia należy przejrzeć wszystkie szczegóły związane z zaleceniem. Zalecamy upewnienie się, że wszystkie szczegóły rekomendacji są poprawne przed rozwiązaniem zalecenia.
Aby przejrzeć szczegóły rekomendacji:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender dla Chmury> Poleceń.
Wybierz zalecenie.
Na stronie rekomendacji przejrzyj szczegóły:
- Poziom ryzyka — możliwość wykorzystania i wpływ biznesowy bazowego problemu z zabezpieczeniami, uwzględniając kontekst zasobów środowiskowych, taki jak: narażenie na Internet, poufne dane, ruch poprzeczny i inne.
- Czynniki ryzyka — czynniki środowiskowe zasobu, na które ma wpływ zalecenie, które wpływają na możliwości wykorzystania i wpływ biznesowy bazowego problemu z zabezpieczeniami. Przykłady czynników ryzyka obejmują narażenie na internet, poufne dane, potencjał przenoszenia bocznego.
- Zasób — nazwa zasobu, którego dotyczy problem.
- Status — stan zalecenia. Na przykład nieprzypisane, na czas, zaległe.
- Opis — krótki opis problemu z zabezpieczeniami.
- Ścieżki ataków — liczba ścieżek ataku.
- Zakres — subskrypcja lub zasób, którego dotyczy problem.
- Świeżość — interwał świeżości zalecenia.
- Data ostatniej zmiany — data ostatniej zmiany tej rekomendacji
- Ważność — ważność zalecenia (wysoki, średni lub niski). Więcej szczegółów można znaleźć poniżej.
- Właściciel — osoba przypisana do tego zalecenia.
- Data ukończenia — przypisana data rozwiązania zalecenia.
- Taktyka i techniki — taktyka i techniki mapowane na MITRE ATT&CK.
Eksplorowanie rekomendacji
W celu interakcji z zaleceniami można wykonać wiele akcji. Jeśli opcja jest niedostępna, nie jest odpowiednia dla zalecenia.
Aby zapoznać się z zaleceniem:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender dla Chmury> Poleceń.
Wybierz zalecenie.
W rekomendacji można wykonać następujące akcje:
Wybierz pozycję Otwórz zapytanie , aby wyświetlić szczegółowe informacje o zasobach, których dotyczy problem, przy użyciu zapytania Eksploratora usługi Azure Resource Graph.
Wybierz pozycję Wyświetl definicję zasad, aby wyświetlić wpis usługi Azure Policy dla zalecenia bazowego (jeśli jest to istotne).
W obszarze Wykonaj akcję:
Korygowanie: opis ręcznych kroków wymaganych do rozwiązania problemu z zabezpieczeniami w zasobach, których dotyczy problem. W przypadku zaleceń z opcją Napraw możesz wybrać pozycję Wyświetl logikę korygowania przed zastosowaniem sugerowanej poprawki do zasobów.
Przypisz właściciela i datę ukończenia: jeśli masz włączoną regułę ładu dla zalecenia, możesz przypisać właściciela i datę ukończenia.
Wyklucz: możesz wykluczyć zasoby z zalecenia lub wyłączyć określone wyniki przy użyciu reguł wyłączania.
Automatyzacja przepływu pracy: ustaw aplikację logiki do wyzwolenia za pomocą tego zalecenia.
W obszarze Wyniki możesz przejrzeć powiązane ustalenia według ważności.
W programie Graph można wyświetlać i badać cały kontekst używany do określania priorytetów ryzyka, w tym ścieżek ataków. Możesz wybrać węzeł w ścieżce ataku, aby wyświetlić szczegóły wybranego węzła.
Wybierz węzeł, aby wyświetlić dodatkowe szczegóły.
Wybierz Analiza.
W menu rozwijanym luk w zabezpieczeniach wybierz lukę w zabezpieczeniach, aby wyświetlić szczegóły.
(Opcjonalnie) Wybierz pozycję Otwórz stronę luki w zabezpieczeniach, aby wyświetlić skojarzona strona rekomendacji.
Rekomendacje grupowania według tytułu
strona rekomendacji Defender dla Chmury umożliwia grupowanie zaleceń według tytułu. Ta funkcja jest przydatna, gdy chcesz skorygować zalecenie, które ma wpływ na wiele zasobów spowodowanych przez określony problem z zabezpieczeniami.
Aby pogrupować zalecenia według tytułu:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender dla Chmury> Poleceń.
Wybierz pozycję Grupuj według tytułu.
Zarządzanie przypisanymi zaleceniami
Defender dla Chmury obsługuje reguły ładu dla zaleceń, aby określić właściciela rekomendacji lub datę ukończenia akcji. Reguły ładu pomagają zapewnić odpowiedzialność i umowę SLA dla zaleceń.
- Rekomendacje są wyświetlane jako W czasie do momentu ich ukończenia, gdy zostaną zmienione na Zaległe.
- Zanim zalecenie zostanie zaległe, zalecenie nie ma wpływu na wskaźnik bezpieczeństwa.
- Można również zastosować okres prolongaty, w którym zaległe zalecenia nadal nie wpływają na wskaźnik bezpieczeństwa.
Dowiedz się więcej na temat konfigurowania reguł ładu.
Aby zarządzać przypisanymi zaleceniami:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender dla Chmury> Poleceń.
Wybierz pozycję Dodaj właściciela filtru>.
Wybierz wpis użytkownika.
Wybierz Zastosuj.
W wynikach rekomendacji przejrzyj zalecenia, w tym zasoby, czynniki ryzyka, ścieżki ataków, daty ukończenia i stan.
Wybierz zalecenie, aby przejrzeć je dalej.
W obszarze Podejmij akcję>Zmień właściciela i datę ukończenia wybierz pozycję Edytuj przypisanie, aby zmienić właściciela rekomendacji i datę ukończenia w razie potrzeby.
- Domyślnie właściciel zasobu otrzymuje cotygodniową wiadomość e-mail z listą przypisanych do nich zaleceń.
- Jeśli wybierzesz nową datę korygowania, w polu Uzasadnienie określ przyczyny korygowania do tej daty.
- W obszarze Ustawianie powiadomień e-mail możesz:
- Zastąpij domyślną cotygodniowa wiadomość e-mail do właściciela.
- Powiadamianie właścicieli co tydzień o liście otwartych/zaległych zadań.
- Powiadom menedżera bezpośredniego właściciela o otwartej liście zadań.
Wybierz pozycję Zapisz.
Uwaga
Zmiana oczekiwanej daty ukończenia nie zmienia daty ukończenia zalecenia, ale partnerzy zabezpieczeń mogą zobaczyć, że planujesz zaktualizować zasoby według określonej daty.
Przeglądanie zaleceń w usłudze Azure Resource Graph
Za pomocą usługi Azure Resource Graph możesz napisać język zapytań Kusto (KQL) w celu wykonywania zapytań dotyczących Defender dla Chmury danych stanu zabezpieczeń w wielu subskrypcjach. Usługa Azure Resource Graph zapewnia wydajny sposób wykonywania zapytań na dużą skalę w różnych środowiskach chmury przez wyświetlanie, filtrowanie, grupowanie i sortowanie danych.
Aby przejrzeć zalecenia w usłudze Azure Resource Graph:
Zaloguj się w witrynie Azure Portal.
Przejdź do Defender dla Chmury> Poleceń.
Wybierz zalecenie.
Wybierz pozycję Otwarte zapytanie.
Zapytanie można otworzyć na jeden z dwóch sposobów:
- Zapytanie zwracające zasób, którego dotyczy problem — zwraca listę wszystkich zasobów, których dotyczy to zalecenie.
- Zapytanie zwracające wyniki zabezpieczeń — zwraca listę wszystkich problemów z zabezpieczeniami znalezionych przez zalecenie.
Wybierz pozycję Uruchom zapytanie.
Przejrzyj wyniki.
Jak są klasyfikowane rekomendacje?
Każde zalecenie dotyczące zabezpieczeń z Defender dla Chmury ma przypisaną jedną z trzech ocen ważności:
Wysoka ważność: te zalecenia powinny zostać natychmiast rozwiązane, ponieważ wskazują one na krytyczną lukę w zabezpieczeniach, która może zostać wykorzystana przez osobę atakującą w celu uzyskania nieautoryzowanego dostępu do systemów lub danych. Przykładami zaleceń o wysokiej ważności jest to, że wykryliśmy niechronione wpisy tajne na maszynie, nadmiernie permissywne reguły przychodzącej sieciowej grupy zabezpieczeń, klastry umożliwiające wdrażanie obrazów z niezaufanych rejestrów i nieograniczony dostęp publiczny do kont magazynu lub baz danych.
Średnia ważność: Te zalecenia wskazują potencjalne zagrożenie bezpieczeństwa, które należy rozwiązać w odpowiednim czasie, ale może nie wymagać natychmiastowej uwagi. Przykłady zaleceń o średniej ważności mogą obejmować kontenery udostępniające poufne przestrzenie nazw hostów, aplikacje internetowe, które nie korzystają z tożsamości zarządzanych, maszyny z systemem Linux, które nie wymagają kluczy SSH podczas uwierzytelniania, a nieużywane poświadczenia pozostają w systemie po upływie 90 dni braku aktywności.
Niska ważność: te zalecenia wskazują na stosunkowo niewielki problem z zabezpieczeniami, który można rozwiązać dla wygody. Przykłady zaleceń o niskiej ważności mogą obejmować konieczność wyłączenia uwierzytelniania lokalnego na rzecz identyfikatora Entra firmy Microsoft, problemów z kondycją rozwiązania ochrony punktu końcowego, najlepszych rozwiązań, które nie są przestrzegane z sieciowymi grupami zabezpieczeń lub nieprawidłowo skonfigurowanych ustawień rejestrowania, które mogą utrudnić wykrywanie i reagowanie na zdarzenia zabezpieczeń.
Oczywiście wewnętrzne poglądy organizacji mogą różnić się od klasyfikacji określonej rekomendacji przez firmę Microsoft. Dlatego zawsze dobrym pomysłem jest dokładne przejrzenie każdej rekomendacji i rozważenie jej potencjalnego wpływu na stan zabezpieczeń przed podjęciem decyzji, jak go rozwiązać.
Uwaga
CSPM w usłudze Defender klienci mają dostęp do bogatszego systemu klasyfikacji, w którym zalecenia są wyświetlane bardziej dynamiczne Poziom ryzyka, który korzysta z kontekstu zasobu i wszystkich powiązanych zasobów. Dowiedz się więcej o priorytetyzacji ryzyka.
Przykład
W tym przykładzie ta strona szczegółów rekomendacji zawiera 15 zasobów, których dotyczy problem:
Po otwarciu bazowego zapytania i uruchomieniu go Eksplorator usługi Azure Resource Graph zwraca te same zasoby, których dotyczy to zalecenie.