你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Cloud 中的安全分数

Microsoft Defender for Cloud 中的安全分数可帮助你改善云安全状况。 安全分数将安全结果聚合到单个分数中,以便一目了然地评估当前安全情况。 分数越高,识别的风险级别便越低。

在订阅中启用 Defender for Cloud 后,订阅中默认应用 Microsoft 云安全基准 (MCSB) 标准。 开始根据 MCSB 标准评估范围内的资源。

MCSB 根据评估结果提出建议。 只有 MCSB 提供的内置建议会影响安全分数。 目前,风险优先级不会影响安全功能分数。

注意

计算安全功能分数时不包括标记为“预览”的建议。 但仍应尽可能修正这些建议,这样在预览期结束时,它们会有助于提升分数。 预览建议用图标标记:

查看安全功能分数

查看 Defender for Cloud 的“概述”仪表板时,可以查看所有环境的安全分数。 仪表板将安全分数显示为百分比值,并包括基础值。

显示总安全分数和基础值的门户仪表板的屏幕截图。

Azure 移动应用将安全分数显示为百分比值。 点击它可查看解释该分数的详细信息。

显示总安全分数和详细信息的 Azure 移动应用的屏幕截图。

了解安全态势

Defender for Cloud 中的“安全状况”页面显示环境的整体安全分数以及单独每个环境的安全分数

用于安全态势的 Defender for Cloud 页的屏幕截图。

在此页上,你可以查看影响总分的订阅、帐户和项目、有关不正常资源的信息以及相关建议。 可以按环境进行筛选,例如 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Azure DevOps。 然后可以深化到每个 Azure 订阅、AWS 帐户和 GCP 项目。

安全态势页下半部分屏幕截图。

安全分数的计算

在 Defender for Cloud 的“建议”页上,“安全分数建议”选项卡显示 MCSB 中的合规性控件如何提升总体安全分数

显示影响安全分数的安全控件的屏幕截图。

Defender for Cloud 每 8 小时计算一次每个 Azure 订阅或者每个 AWS 或 GCP 云连接器的每个控件。

重要

控件中的建议更新频率高于控件本身。 你可能会发现建议的资源计数与控件上的资源计数之间存在差异。

控制的示例分数

以下示例重点介绍“修正漏洞”的安全功能分数建议

显示多重身份验证的安全分数建议的屏幕截图。

此示例介绍了建议中的以下字段。

字段 详细信息
修正漏洞 一组用于发现和解决已知漏洞的建议。
最高分数 实现控件中的所有建议后可以获得的最高分数。

控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。

使用此列中的值来确定首先要处理的问题。
当前分数 此控制的当前分数。

当前分数 = [每个资源的分数] * [正常运行的资源数]

每个控制都对总分贡献点数。 在此示例中,该控件为当前总分贡献了 3.33 分。
潜在分数增加 控制中可提升的剩余分值。 如果实现此控制中的所有建议,分数增加 4%。

潜在分数增加 = [每个资源的分数] * [运行不正常的资源数]
Insights 每个建议的额外详细信息,例如:

- 预览建议:此建议仅在正式发布后影响安全分数。

- 修复:解决此问题。

- 强制执行:当所创建资源不合规时,你可以自动部署策略来解决此问题。

- 拒绝:阻止创建具有此问题的新资源。

分数计算公式

下面介绍了如何计算分数。

安全控制

用于确定安全控件分数的公式为:

显示用于计算安全控件分数的公式的屏幕截图。

各个控制的当前分数是对该控制中资源状态的度量。 每个单独的安全控件都会影响安全分数。 控件中的建议所影响的每个资源都对控件的当前分数有贡献。 安全分数不包括在预览建议中找到的资源。

在以下示例中,最大分数 6 将除以 78,因为后者是正常和不正常资源的总和。 因此,6 / 78 = 0.0769。 将其与正常资源的数量 (4) 相乘可得出当前分数:0.0769 * 4 = 0.31。

显示计算安全控件当前分数时使用的值的工具提示的屏幕截图。

单个订阅或连接器

用于确定单个订阅或连接器的安全分数的公式为:

用于计算订阅安全分数的公式的屏幕截图。

在以下示例中有一个订阅或连接器,其中包含所有可用的安全控件(可能的最高分数为 60 分)。 分数显示了可能的最高分数 60 分中的 29 分。 其余 31 分通过安全控件的“潜在分数增加”数字得到反映

启用了所有控件的单个订阅安全分数的屏幕截图。

显示控件和潜在分数增加值列表的屏幕截图。

此公式与连接器的公式相同,只需将“订阅”一词替换为“连接器”

多个订阅和连接器

用于确定多个订阅和连接器的安全分数的公式为:

用于计算多个订阅安全分数的公式的屏幕截图。

多个订阅和连接器的综合得分会加入每个订阅和连接器的“权重”。 Defender for Cloud 基于资源数量等因素来决定订阅和连接器的相对权重。 每个订阅和连接器的当前分数的计算方式与单个订阅或连接器的计算方式相同,但会按公式所示应用权重。

查看多个订阅和连接器时,安全分数会评估所有已启用的策略中的所有资源并将其分组。 将资源分组可以显示它们如何共同影响每个安全控件的最高分数。

启用了所有控件的多个订阅安全分数的屏幕截图。

综合得分不是平均值。 而是对所有订阅和连接器中所有资源状态进行计算后得到的值。 如果转到“建议”页并将可能得到的分数相加,你会发现结果是当前分数 (22) 与最高得分 (58) 之差。

提高安全功能分数

MCSB 由一系列合规性控件组成。 每个控制措施都是相关安全建议的一个逻辑组,反映了易受攻击的攻击面。

若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。 仅当修正所有建议时,分数才会提高

若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。 例如,Defender for Cloud 提供有关如何保护管理端口的多个建议。 现在必须修正所有建议,才能改变安全分数。

可以使用以下任一方法提高安全分数:

  • 修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。
  • 强制执行或拒绝建议来提高分数,并确保用户不会创建对分数产生不利影响的资源。

安全功能分数控制

下表列出了 Microsoft Defender for Cloud 中的安全控件。 对于每个控件,如果你实现了控件中列出的针对所有资源的所有建议,可以看到安全分数可增加的最大分数

安全评分 安全控制
10 启用 MFA:Defender for Cloud 在 MFA 上设置了一个较高的值。 使用这些建议可帮助保护订阅的用户。

可以通过三种方法来启用 MFA 并符合建议:安全默认值、每用户分配、条件访问策略。
8 安全管理端口:暴力攻击通常以管理端口为目标。 使用这些建议可通过实时 VM 访问网络安全组等工具减少暴露。
6 应用系统更新:不应用更新会留下未修补的漏洞,使环境容易受到攻击。 使用这些建议可保持运营效率、减少安全漏洞,并为最终用户提供更稳定的环境。 若要部署系统更新,可以使用更新管理解决方案来管理计算机的修补程序和更新
6 修正漏洞:当漏洞评估工具向 Defender for Cloud 报告漏洞时,Defender for Cloud 会提供调查结果和相关信息作为建议。 使用这些建议修正已识别的漏洞。
4 修正安全配置:配置错误的 IT 资产受到攻击的风险更高。 使用这些建议可强化基础结构中识别的错误配置。
4 管理访问和权限:安全程序的核心是确保用户仅具有完成其工作所需的访问权限:最小特权访问模型。 使用这些建议可管理标识和访问要求。
4 启用静态加密:使用这些建议可确保减少存储数据保护方面的错误配置。
4 加密传输中的数据:使用这些建议可帮助保护在组件、位置或程序之间移动的数据。 这类数据更容易遭受中间人攻击、窃听和会话劫持。
4 限制未经授权的网络访问:Azure 提供了一套工具,旨在为整个网络中的访问提供最高安全标准。

使用这些建议可管理 Defender for Cloud 的自适应网络强化、确保已为所有相关平台即服务 (PaaS) 服务配置 Azure 专用链接、在虚拟网络上启用 Azure 防火墙等。
3 应用自适应应用程序控制:自适应应用程序控制是一种智能的、自动化的端到端解决方案,可用于控制哪些应用程序可以在计算机上运行。 它还有助于强化计算机免受恶意软件的侵害。
2 保护应用程序免受 DDoS 攻击:Azure 中的高级网络安全解决方案包括 Azure DDoS 防护、Azure Web 应用程序防火墙和适用于 Kubernetes 的 Azure Policy 加载项。 使用这些建议可帮助通过这些工具和其他工具来保护应用程序。
2 启用终结点保护:Defender for Cloud 会检查组织的终结点中是否存在活动的威胁检测和响应解决方案,例如 Microsoft Defender for Endpoint 或此列表中显示的任何主要解决方案。

如果未启用终结点检测和响应 (EDR) 解决方案,请使用这些建议来部署 Microsoft Defender for Endpoint。 Defender for Endpoint 包含在 Defender for Servers 计划中。

此控制中的其他建议可帮助部署代理并配置文件完整性监视
1 启用审核和日志记录:详细日志是事件调查和许多其他故障排除操作的关键部分。 此控件中的建议侧重于确保在相关位置启用诊断日志。
0 启用增强的安全功能:使用这些建议启用 Defender for Cloud 计划。
0 实施安全最佳做法:此建议集合对于组织安全非常重要,但不会影响安全分数。

后续步骤

跟踪安全功能分数