通过

概述 - 曝光见解

  • 项目

Microsoft 安全风险管理中的公开见解将跨工作负载和资源的安全态势数据和见解持续聚合到单个管道中。

曝光见解

曝光见解提供有关资产清单安全态势状态的丰富上下文。

首席信息安全官 (CSO) 、决策者、风险所有者和安全团队可以使用安全见解和上下文来了解和管理整个组织的暴露风险,并确定安全工作和投资的优先级。

曝光见解提供有关安全态势状态的可见性和精细上下文。 见解使你能够:

  • 将组织安全状况分解为可管理的安全项目。
  • 将安全项目作为安全风险管理中的安全计划进行管理。
  • 查看、衡量和跟踪每个安全计划的风险暴露。
  • 遵循可操作的建议和修正步骤来改善安全状况并降低风险。
  • 监视一段时间内的安全态势状态和改进。

安全计划

安全计划提供了一种简单的方法来评估特定安全区域或工作负载的安全准备情况,并持续跟踪和衡量该区域或工作负载随时间推移的暴露风险。

安全风险管理提供了目前包括:

  • 工作负载计划:评估和管理与特定工作负载域(例如终结点、标识资源和云资产的安全性)相关的风险。

  • 横向威胁计划:评估和管理特定威胁领域的风险,例如勒索软件防护或业务电子邮件泄露 - 财务欺诈。

  • 威胁分析计划:使用基于Microsoft威胁分析的最新研究的计划评估威胁风险。 Microsoft威胁分析是一组来自安全专家Microsoft的报告,这些报告提供有关真实和相关威胁的信息。 这些威胁计划侧重于:

    • 威胁参与者和威胁向量。
    • 具有三个或更多建议的威胁报告。

  • 零信任计划:评估与零信任合规性相关的风险。 此计划与 零信任采用框架提供的指导保持一致。

重要

将相应地标记处于预览状态的计划。 预览版计划仍在开发中,可能会发生更改。

计划元素

元素 目标 详细信息
主动 计划可帮助你收集具有类似资源和工作负载的安全项目,并评估和修正每个项目的安全状况。 每个安全计划都提供一个全面分数,用于快速度量当前时间点计划的安全态势。

总分数还提供目标分数指示器、受影响的关键资产数,并显示分数在过去 24 小时内的移动方式。
跃点数 安全计划中的指标有助于衡量计划内不同领域的暴露风险。 每个指标收集了针对类似资产的一个或多个建议。

指标可以与一个或多个计划相关联。

重要提示:威胁分析计划没有指标。 他们只提供建议。
建议 安全建议可帮助你了解特定安全计划的符合性状态。 所有安全计划都有与之关联的建议。

建议可以与一个或多个计划相关联。

在计划中,为建议分配符合性状态。
事件 事件有助于监视计划更改。 当全能计划分数或指标分数下降时,事件会通知你,指示风险增加。

使用计划

可以在“概述”仪表板确定要查看的计划优先级。 查看计划分数,并向下钻取到计划,以查看关联的指标并了解差距或风险所在的位置。

使用指标

在计划的“指标”选项卡或“曝光见解”的“指标”部分中,可以查看指标状态、其效果和在计划中的相对重要性,以及改进指标的建议。 对于每个指标,可以:

  • 查看指标属性,包括:

    • 14 天趋势:显示过去 14 天的指标值更改。
    • 受影响的项:指标中的项数。 在大多数情况下,这些项目是公开的资产或创建风险因素的资产。 在其他情况下,受影响的项目将是缺少Microsoft安全分数的数量,以有效实施建议的控制。
    • 总计:指标范围下的资产总数。
    • 权重:相对权重 (计划内指标的重要性) ,及其对计划分数的影响。 从最低一 () 到十 (最高) 。
    • 分数影响:完成指标 (将其设置为 0% ) 对安全计划的影响。 这意味着,如果已完成给定指标,则分数影响是计划分数的添加。
    • 状态:显示指标是否需要关注,风险是否在安全风险管理外部缓解,不应影响计划分数,或已缓解,并且应相应地调整计划分数。
    • 当前值:在指标涵盖的总资产中公开资产的当前百分比,以及每个指标的状态。 零百分比是最好的,因为没有暴露,而 100% 是最差的。
    • 建议:与指标关联的安全建议。
    • “上次更新 ”显示指标的上次更新日期。

  • 筛选特定结果的指标。

  • 向下钻取指标以查看和修复相关问题。

  • 向产品团队建议新指标。

  • 根据业务优先级自定义指标的权重,使其在计划中具有较大或更小的影响。 编辑指标会影响包含指标的所有计划。

不可用的指标

在某些情况下,指标显示为灰色,因为指标的基础数据不存在。 例如,如果所需的工作负载未载入,或者安全功能分数指标设置为已完成或安全分数中接受的风险,并且安全风险管理无法访问指标数据。

计算分数时不考虑灰显的指标。

注意

曝光管理中的版本控制功能为用户提供有关即将进行的版本更新的主动通知,提供对预期指标更改及其对相关计划的影响的高级可见性。 专用侧面板提供有关更新的更多详细信息,包括更改的预期日期、发行说明、当前和新指标值,以及对相关计划分数的更改。 用户可以直接通过平台共享有关更新的反馈。 该信息是动态的,可能会因访问时间而异。

使用建议

安全风险管理从多个源引入安全建议,包括运行 Defender for Cloud 安全态势管理 (CSPM) 计划的 Microsoft Defender for Cloud、Microsoft安全功能分数、Microsoft威胁分析和其他Microsoft工作负载。 安全风险管理将所有这些建议集成到单个安全目录中。

  • 可以从“ 建议 ”选项卡查看建议,或者查看和修正特定安全计划或指标中的建议。
  • 每个建议都提供了修正步骤来修复检测到的符合性问题。
  • 针对安全建议采取的每项操作都有助于减少风险和风险,改善安全状况,并直接影响其相关的安全计划和指标。

安全风险管理按符合性状态对建议进行分类,如下所示:

  • 符合:指示建议已成功实现。
  • 不投诉:指示建议尚未修复。
  • 组织缓解:显示何时在其他位置采取了缓解建议的步骤,安全风险管理不知道建议是否符合。 例如,通过更改安全功能分数中的状态。
  • 不可用:表示没有足够的信息来确定符合性状态。

勒索软件高级防护建议详细信息的屏幕截图

安全评分

Microsoft安全功能分数 可帮助组织使用安全功能分数作为跟踪指标来规划和改进整体安全态势。

安全风险管理使用安全功能分数作为主动评分的来源之一。

  • 安全功能分数包含针对 许多产品的建议操作。
  • 选择要查看的建议时,安全风险管理允许你在特定产品中修正问题,包括派生自安全功能分数的建议。
  • 对于安全分数相关的建议,如果安全功能分数不处于活动状态,则不显示建议。

监视和改进分数

安全计划的暴露状态反映在计划分数中。

  • 包含指标的计划:对于具有指标的计划,分数是根据计划内指标的值和权重计算的。
  • 没有指标的计划:对于没有指标的威胁计划,计划分数的计算方式与 安全功能分数的计算方式相同。

对于具有指标的计划:

  • 随着指标的提高,计划分数会上升,以反映安全计划的改进态势。
  • 通过应用与计划相关的建议,指标可大幅改进。
  • 指标的更改(包括弃用/删除、值和指标属性)可能会影响计划分数。

查看计划历史记录

在计划的“ 历史记录 ”选项卡上,可以:

  • 跟踪超过 2.5% 影响计划分数的更改的历史记录。
  • 筛选特定时间点。
  • 向下钻取到特定更改。

“计划历史记录”选项卡的屏幕截图,其中显示了更改的图形和日期。

向下钻取到特定更改时,可以看到计划分数中指标的百分比影响以及更改原因。 原因包括:

  • 属性更改 - 分数中指标权重的更改。
  • 值更改 - 计划分数中指标值的更改。
  • 已删除指标 - 指标不再与该特定计划相关。 例如,如果引入了更好的建议,或者它变得无关紧要。
  • 指标已弃用 - 指标将全局删除。

选择已更改的指标可提供有关更改的更多详细信息。 例如,它可能会显示属性更改的新权重,以及更改前后受影响的资产数。 它还提供了一个下拉列表,用于更改公开的资产,最多显示前 100 个资产,并指示是添加或删除资产暴露。

初始化历史记录侧面板的屏幕截图

无法提前控制指标或分数更改。

查看事件

事件衡量指标状态的分数下降或恶化。 事件包括:

  • 指标分数下降事件:这些事件的指标分数至少下降了 2%, (曝光率比昨天增加了 2%,) 。
  • 计划分数下降事件:如果计划分数自昨天以来至少下降 2%,则发出这些事件。
  • 新计划事件:当 MSEM 中提供新计划时,会发出这些事件。

后续步骤