Предопределенные классификации
Управление рисками предоставляет готовый каталог стандартных классификаций критических ресурсов для ресурсов, включая устройства, удостоверения и облачные ресурсы.
Вы можете просматривать и классифицировать критически важные ресурсы, при необходимости включая и отключая их.
Чтобы предложить новые классификации критически важных ресурсов, используйте кнопку Обратная связь .
Текущие типы активов:
Примечание.
Мы также используем контекст важности, полученный из внешних соединителей данных. Этот контекст будет представлен в виде классификаций в предопределенной библиотеке классификаций управления критическими ресурсами.
Устройство
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Microsoft Entra ID Connect | Устройство | Высокая | Сервер Microsoft Entra ID Connect (ранее известный как AAD Connect) отвечает за синхронизацию данных и паролей локального каталога с клиентом Microsoft Entra ID. |
| ADCS | Устройство | Высокая | Сервер ADCS позволяет администраторам полностью реализовать инфраструктуру открытых ключей (PKI) и выдавать цифровые сертификаты, которые можно использовать для защиты нескольких ресурсов в сети. Кроме того, ADCS можно использовать для различных решений безопасности, таких как шифрование SSL, проверка подлинности пользователей и безопасная электронная почта. |
| ADFS; | Устройство | Высокая | Сервер ADFS предоставляет пользователям единый доступ к системам и приложениям, расположенным за пределами организации. Она использует модель авторизации управления доступом на основе утверждений для обеспечения безопасности приложений и реализации федеративного удостоверения. |
| Резервное копирование | Устройство | Средняя | Сервер резервного копирования отвечает за защиту данных с помощью регулярных резервных копий, обеспечивая защиту данных и готовность к аварийному восстановлению. |
| Устройство Администратор домена | Устройство | Высокая | Устройства администратора домена — это устройства, на которые часто входит один или несколько администраторов домена. Эти устройства, скорее всего, будут хранить связанные файлы, документы и учетные данные, используемые администраторами домена. Примечание. Мы применяем логику для определения устройств, принадлежащих администратору, на основе нескольких факторов, включая частое использование средств администрирования. |
| Контроллер домена | Устройство | Очень высокий | Сервер контроллера домена отвечает за проверку подлинности пользователей, авторизацию и централизованное управление сетевыми ресурсами в домене Active Directory. |
| DNS | Устройство | Низкая | DNS-сервер необходим для разрешения доменных имен с IP-адресами, что обеспечивает сетевое взаимодействие и доступ к ресурсам как внутри, так и за пределами. |
| Exchange | Устройство | Средняя | Exchange Server отвечает за весь почтовый трафик в организации. В зависимости от конфигурации и архитектуры каждый сервер может содержать несколько почтовых баз данных, в которых хранятся высоко конфиденциальные сведения организации. |
| УСТРОЙСТВО АДМИНИСТРАТОР ИТ-Администратор | Устройство | Средняя | Критически важные устройства, используемые для настройки, управления и мониторинга ресурсов в организации, имеют жизненно важное значение для ИТ-администрирования и подвергаются высокому риску киберугроз. Для предотвращения несанкционированного доступа им требуется безопасность верхнего уровня. Примечание. Мы применяем логику для определения устройств, принадлежащих администратору, на основе нескольких факторов, включая частое использование средств администрирования. |
| Сетевое устройство Администратор | Устройство | Средняя | Критически важные устройства, используемые для настройки, управления и мониторинга сетевых ресурсов в организации, имеют жизненно важное значение для администрирования сети и подвергаются высокому риску киберугроз. Для предотвращения несанкционированного доступа им требуется безопасность верхнего уровня. Примечание. Мы применяем логику для определения устройств, принадлежащих администратору, на основе нескольких факторов, включая частое использование средств администрирования. |
| VMware ESXi | Устройство | Высокая | Гипервизор VMware ESXi необходим для запуска виртуальных машин в вашей инфраструктуре и управления ими. Будучи низкоуровневой оболочкой без операционной системы, она обеспечивает основу для создания виртуальных ресурсов и управления ими. |
| VMware vCenter | Устройство | Высокая | VMware vCenter Server имеет решающее значение для управления виртуальными средами. Он обеспечивает централизованное управление виртуальными машинами и узлами ESXi. Если произойдет сбой, это может нарушить администрирование и управление виртуальной инфраструктурой, включая подготовку, миграцию, балансировку нагрузки виртуальных машин и автоматизацию центров обработки данных. Тем не менее, так как часто существуют избыточные серверы vCenter Server и конфигурации высокого уровня доступности, немедленной остановки всех операций может не произойти. Его сбой по-прежнему может вызвать значительные неудобства и потенциальные проблемы с производительностью |
| Hyper-V Server | Устройство | Высокая | Гипервизор Hyper-V необходим для запуска виртуальных машин в инфраструктуре и управления ими, выступая в качестве основной платформы для их создания и управления. Сбой узла Hyper-V может привести к недоступности размещенных виртуальных машин, что может привести к простою и нарушению бизнес-операций. Кроме того, это может привести к значительному снижению производительности и операционным проблемам. Поэтому обеспечение надежности и стабильности узлов Hyper-V имеет решающее значение для обеспечения бесперебойной работы в виртуальной среде. |
Удостоверение
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Удостоверение с привилегированной ролью | Удостоверение | Высокая | Следующим удостоверениям (User, Group, Service Principal или Managed Identity) назначена встроенная или настраиваемая привилегированная роль Azure RBAC по подписке область, содержащая критически важный ресурс. Роль может включать разрешения для назначений ролей Azure, изменение политик Azure, выполнение сценариев на виртуальной машине с помощью команды Run, доступ на чтение к учетным записям хранения и хранилищам ключей и многое другое. |
| Администратор приложений | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать и управлять всеми аспектами корпоративных приложений, регистраций приложений и параметров прокси-сервера приложения. |
| Разработчик приложения | Удостоверение | Высокая | Удостоверения в этой роли могут создавать регистрации приложений независимо от параметра "Пользователи могут регистрировать приложения". |
| Администратор проверки подлинности | Удостоверение | Очень высокий | Удостоверения в этой роли могут задавать и сбрасывать метод проверки подлинности (включая пароли) для пользователей, не являющихся администраторами. |
| Операторы архивации | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут выполнять вход на компьютер и выключать его, а также выполнять операции резервного копирования и восстановления на контроллерах домена. |
| Операторы сервера | Удостоверение | Очень высокий | Удостоверения в этой роли могут администрировать контроллеры домена. Члены группы операторов сервера могут выполнять следующие действия: интерактивный вход на сервер, создание и удаление общих сетевых ресурсов, запуск и остановка служб, резервное копирование и восстановление файлов, форматирование жесткого диска компьютера и завершение работы компьютера. |
| Администратор набора ключей IEF B2C | Удостоверение | Высокая | Удостоверения в этой роли могут управлять секретами для федерации и шифрования в IEF. |
| Администратор облачных приложений | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать и управлять всеми аспектами регистрации приложений и корпоративных приложений, кроме App Proxy. |
| Администратор облачных устройств | Удостоверение | Высокая | Удостоверения в этой роли имеют ограниченный доступ к управлению устройствами в Microsoft Entra ID. Они могут включать, отключать и удалять устройства в Microsoft Entra ID и считывать Windows 10 ключи BitLocker (если они есть) в портал Azure. |
| Администратор условного доступа | Удостоверение | Высокая | Удостоверения в этой роли могут управлять Microsoft Entra параметрами условного доступа. |
| Учетные записи синхронизации каталогов | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми параметрами синхронизации каталогов. Должен использоваться только службой Microsoft Entra Connect. |
| Запись каталогов | Удостоверение | Высокая | Удостоверения в этой роли могут считывать и записывать основные сведения о каталоге. Для предоставления доступа к приложениям, не предназначенным для пользователей. |
| Администратор домена | Удостоверение | Очень высокий | Удостоверения в этой роли имеют право администрировать домен. По умолчанию группа "Администраторы домена" является членом группы "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. |
| Администратор предприятия | Удостоверение | Очень высокий | Удостоверения в этой роли имеют полный доступ к настройке всех контроллеров домена. Члены этой группы могут изменять членство во всех административных группах. |
| Глобальный администратор | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Microsoft Entra ID и служб Майкрософт, которые используют Microsoft Entra удостоверения. |
| Глобальный читатель | Удостоверение | Высокая | Удостоверения в этой роли могут считывать все, что может глобальный администратор, но ничего не обновлять. |
| Администратор службы поддержки | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для администраторов и администраторов службы технической поддержки. |
| Администратор гибридных удостоверений | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять Active Directory для Microsoft Entra подготовки облака, Microsoft Entra Connect, сквозной проверки подлинности (PTA), синхронизации хэша паролей (PHS), простого единого входа (простой единый вход) и параметров федерации. |
| Администратор Intune | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Intune продукта. |
| Поддержка партнеров уровня 1 | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для пользователей, не являющихся администраторами, обновлять учетные данные для приложений, создавать и удалять пользователей, а также создавать разрешения OAuth2. Эта роль устарела и будет удалена из Microsoft Entra ID в будущем. Не используйте — не предназначено для общего использования. |
| Поддержка партнеров уровня 2 | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для всех пользователей (включая глобальных администраторов), обновлять учетные данные для приложений, создавать и удалять пользователей, а также создавать разрешения OAuth2. Эта роль устарела и будет удалена из Microsoft Entra ID в будущем. Не используйте — не предназначено для общего использования. |
| Администратор паролей | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для неадминистраторов и администраторов паролей. |
| Привилегированный администратор проверки подлинности | Удостоверение | Очень высокий | Удостоверения в этой роли могут просматривать, задавать и сбрасывать сведения о методе проверки подлинности для любого пользователя (администратора или другого администратора). |
| Администратор привилегированных ролей | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять назначениями ролей в Microsoft Entra ID и всеми аспектами управление привилегированными пользователями. |
| Администратор безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут считывать сведения о безопасности и отчеты, а также управлять конфигурацией в Microsoft Entra ID и Office 365. |
| Оператор безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут создавать события безопасности и управлять ими. |
| Читатель сведений о безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут считывать сведения о безопасности и отчеты в Microsoft Entra ID и Office 365. |
| Администратор пользователей | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов. |
| Администратор Exchange | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами продукта Exchange. |
| Администратор SharePoint | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами службы SharePoint. |
| Администратор соответствия требованиям | Удостоверение | Высокая | Удостоверения в этой роли могут считывать конфигурации и отчеты соответствия требованиям и управлять ими в Microsoft Entra ID и Microsoft 365. |
| Администратор Группы | Удостоверение | Высокая | Удостоверения в этой роли могут создавать группы и параметры групп, такие как политики именования и истечения срока действия, и управлять ими, а также просматривать отчеты о действиях и аудите групп. |
| Администратор внешнего поставщика удостоверений | Удостоверение | Очень высокий | Удостоверения в этой роли могут настраивать поставщиков удостоверений для использования в прямой федерации. |
| Администратор доменных имен | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять доменными именами в облаке и локальной среде. |
| Администратор Управление разрешениями | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Управление разрешениями Microsoft Entra (EPM). |
| Администратор выставления счетов | Удостоверение | Высокая | Удостоверения в этой роли могут выполнять общие задачи, связанные с выставлением счетов, такие как обновление сведений об оплате. |
| Администратор лицензий | Удостоверение | Высокая | Удостоверения в этой роли могут управлять лицензиями на продукты для пользователей и групп. |
| Администратор Teams | Удостоверение | Высокая | Удостоверения в этой роли могут управлять службой Microsoft Teams. |
| администратор потока пользователей Внешняя идентификация | Удостоверение | Высокая | Удостоверения в этой роли могут создавать и управлять всеми аспектами потоков пользователей. |
| Администратор атрибутов потока пользователей Внешняя идентификация | Удостоверение | Высокая | Удостоверения в этой роли могут создавать схему атрибутов, доступную всем потокам пользователей, и управлять ею. |
| Администратор политики IEF B2C | Удостоверение | Высокая | Удостоверения в этой роли могут создавать политики платформы доверия и управлять ими в IEF. |
| Администратор данных соответствия требованиям | Удостоверение | Высокая | Удостоверения в этой роли могут создавать содержимое соответствия требованиям и управлять ими. |
| Администратор политики проверки подлинности | Удостоверение | Высокая | Удостоверения в этой роли могут создавать и управлять политикой методов проверки подлинности, параметрами MFA на уровне клиента, политикой защиты паролем и проверяемыми учетными данными. |
| Администратор знаний | Удостоверение | Высокая | Удостоверения в этой роли могут настраивать знания, обучение и другие интеллектуальные функции. |
| Управляющий базой знаний | Удостоверение | Высокая | Удостоверения в этой роли могут упорядочивать, создавать, администрировать и продвигать темы и знания. |
| Администратор определения атрибутов | Удостоверение | Высокая | Удостоверения в этой роли могут определять определения настраиваемых атрибутов безопасности и управлять ими. |
| Администратор назначения атрибутов | Удостоверение | Высокая | Удостоверения в этой роли могут назначать ключи и значения настраиваемых атрибутов безопасности поддерживаемым объектам Microsoft Entra. |
| Администратор управления удостоверениями | Удостоверение | Высокая | Удостоверения в этой роли могут управлять доступом с помощью Microsoft Entra ID для сценариев управления удостоверениями. |
| Администратор Cloud App Security | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами продукта Defender for Cloud Apps. |
| Администратор Windows 365 | Удостоверение | Высокая | Удостоверения в этой роли могут подготавливать все аспекты облачных компьютеров и управлять ими. |
| Администратор Yammer | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами службы Yammer. |
| Администратор расширяемости проверки подлинности | Удостоверение | Высокая | Удостоверения в этой роли могут настраивать возможности входа и регистрации для пользователей путем создания пользовательских расширений проверки подлинности и управления ими. |
| Администратор рабочих процессов жизненного цикла | Удостоверение | Высокая | Удостоверения в этой роли создают все аспекты рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управляют ими в Microsoft Entra ID. |
Облачный ресурс
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Базы данных с конфиденциальными данными | Облачный ресурс | Высокая | Это хранилище данных, содержащее конфиденциальные данные. Конфиденциальность данных может варьироваться от секретов, конфиденциальных документов, личных сведений и многого другого. |
| Конфиденциальная виртуальная машина Azure | Облачный ресурс | Высокая | Это правило применяется к конфиденциальным виртуальным машинам Azure. Конфиденциальные виртуальные машины обеспечивают повышенную изоляцию, конфиденциальность и шифрование и используются для критически важных или конфиденциальных данных и рабочих нагрузок. |
| Заблокированная виртуальная машина Azure | Облачный ресурс | Средняя | Это виртуальная машина, которая защищена блокировкой. Блокировки используются для защиты ресурсов от удаления и изменения. Обычно администраторы используют блокировки для защиты критически важных облачных ресурсов в своей среде и для защиты от случайного удаления и несанкционированного изменения. |
| Виртуальная машина Azure с высоким уровнем доступности и производительностью | Облачный ресурс | Низкая | Это правило применяется к виртуальным машинам Azure, которые используют хранилище Azure уровня "Премиум" и настраиваются с помощью группы доступности. Хранилище уровня "Премиум" используется для компьютеров с высокими требованиями к производительности, таких как рабочие нагрузки. Группы доступности повышают устойчивость и часто указываются для критически важных для бизнеса виртуальных машин, которым требуется высокий уровень доступности. |
| Неизменяемая служба хранилища Azure | Облачный ресурс | Средняя | Это правило применяется к учетным записям хранения Azure, для которых включена поддержка неизменяемости. Неизменяемость сохраняет бизнес-данные в состоянии записи после чтения (WORM) и обычно указывает, что учетная запись хранения содержит критически важные или конфиденциальные данные, которые необходимо защитить от изменения. |
| Неизменяемое и заблокированное хранилище Azure | Облачный ресурс | Высокая | Это правило применяется к учетным записям хранения Azure, для которых включена поддержка неизменяемости с заблокированной политикой. Неизменяемость сохраняет бизнес-данные в записи, когда много считывается (WORM). Защита данных увеличивается с помощью заблокированной политики, чтобы гарантировать невозможность удаления данных или сокращение времени их хранения. Эти параметры обычно указывают на то, что учетная запись хранения содержит критически важные или конфиденциальные данные, которые должны быть защищены от изменения или удаления. Данные также могут быть согласованы с политиками соответствия для защиты данных. |
| Виртуальная машина Azure с критически важным пользователем, вошедшего в систему | Облачный ресурс | Высокая | Это правило применяется к виртуальным машинам, защищенным с помощью Defender для конечной точки, где пользователь с высоким или очень высоким уровнем важности входит в систему. Вошедшего пользователя можно использовать присоединенное или зарегистрированное устройство, активный сеанс браузера или другие средства. |
| Azure Key Vault с множеством подключенных удостоверений | Облачный ресурс | Высокая | Это правило определяет хранилища ключей, к которым можно получить доступ с помощью большого количества удостоверений по сравнению с другими хранилищами ключей. Это часто указывает на то, что Key Vault используется критическими рабочими нагрузками, такими как рабочие службы. |
| Заблокированный кластер Служба Azure Kubernetes | Облачный ресурс | Низкая | Это Служба Azure Kubernetes кластер, защищенный блокировкой. Блокировки используются для защиты ресурсов от удаления и изменения. Обычно администраторы используют блокировки для защиты критически важных облачных ресурсов в своей среде и для защиты от случайного удаления и несанкционированного изменения. |
| Кластер Служба Azure Kubernetes уровня "Премиум" | Облачный ресурс | Высокая | Это правило применяется к Служба Azure Kubernetes кластерам с управлением кластерами уровня "Премиум". Уровни "Премиум" рекомендуется использовать для выполнения рабочих нагрузок или критически важных рабочих нагрузок, которым требуется высокий уровень доступности и надежности. |
| Служба Azure Kubernetes кластер с несколькими узлами | Облачный ресурс | Высокая | Это правило применяется к кластерам Служба Azure Kubernetes с большим количеством узлов. Это часто указывает на то, что кластер используется для критически важных рабочих нагрузок, таких как рабочие нагрузки. |
| Кластер Kubernetes Azure Arc с несколькими узлами | Облачный ресурс | Высокая | Это правило применяется к кластерам Kubernetes Azure Arc с большим количеством узлов. Это часто указывает на то, что кластер используется для критически важных рабочих нагрузок, таких как рабочие нагрузки. |