预定义分类
安全风险管理为包括设备、标识和云资源的资产提供预定义关键资产分类的现用目录。
可以查看 和分类关键资产,并根据需要打开和关闭它们。
若要建议新的关键资产分类,请使用 “反馈 ”按钮。
当前资产类型为:
注意
我们还利用从外部数据连接器检索到的关键性上下文。 此上下文将在预定义的关键资产管理分类库中显示为分类。
设备
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| Microsoft Entra ID Connect | 设备 | 高 | Microsoft Entra ID Connect (以前称为 AAD Connect) 服务器负责将本地目录数据和密码同步到Microsoft Entra ID租户。 |
| ADCS | 设备 | 高 | ADCS 服务器允许管理员 (PKI) 完全实现公钥基础结构,并颁发可用于保护网络上多个资源的数字证书。 此外,ADCS 还可用于各种安全解决方案,例如 SSL 加密、用户身份验证和安全电子邮件。 |
| ADFS | 设备 | 高 | ADFS 服务器为用户提供对跨组织边界的系统和应用程序的单一登录访问。 它使用基于声明的访问控制授权模型来维护应用程序安全性并实现联合标识。 |
| 备份 | 设备 | 中 | 备份服务器负责通过定期备份来保护数据,确保数据保护和灾难恢复就绪情况。 |
| 域管理员设备 | 设备 | 高 | 域管理员设备是一个或多个域管理员经常登录的设备。 这些设备可能会存储域管理员使用的相关文件、文档和凭据。 注意:我们应用一个逻辑,根据多种因素(包括频繁使用管理工具)来标识属于管理员的设备。 |
| 域控制器 | 设备 | 非常高 | 域控制器服务器负责对 Active Directory 域中的网络资源进行用户身份验证、授权和集中管理。 |
| DNS | 设备 | 低 | DNS 服务器对于将域名解析为 IP 地址、在内部和外部实现网络通信和访问资源至关重要。 |
| Exchange | 设备 | 中 | Exchange 服务器负责组织内的所有邮件流量。 根据设置和体系结构,每个服务器可能保存多个存储高度敏感的组织信息的邮件数据库。 |
| IT 管理员设备 | 设备 | 中 | 用于配置、管理和监视组织内资产的关键设备对于 IT 管理至关重要,并且存在网络威胁的高风险。 它们需要顶级安全性,以防止未经授权的访问。 注意:我们应用一个逻辑,根据多种因素(包括频繁使用管理工具)来标识属于管理员的设备。 |
| 网络管理员设备 | 设备 | 中 | 用于配置、管理和监视组织内网络资产的关键设备对于网络管理至关重要,并且存在网络威胁的高风险。 它们需要顶级安全性,以防止未经授权的访问。 注意:我们应用一个逻辑,根据多种因素(包括频繁使用管理工具)来标识属于管理员的设备。 |
| VMware ESXi | 设备 | 高 | VMware ESXi 虚拟机监控程序对于在基础结构中运行和管理虚拟机至关重要。 作为裸机虚拟机监控程序,它为创建和管理虚拟资源提供了基础。 |
| VMware vCenter | 设备 | 高 | VMware vCenter Server 对于管理虚拟环境至关重要。 它提供对虚拟机和 ESXi 主机的集中管理。 如果失败,可能会中断虚拟基础结构的管理和控制,包括虚拟机的预配、迁移、负载均衡和数据中心自动化。 但是,由于通常存在冗余的 vCenter 服务器和高可用性配置,因此可能不会立即停止所有操作。 其故障仍可能导致重大不便和潜在的性能问题 |
| Hyper-V Server | 设备 | 高 | Hyper-V 虚拟机监控程序对于在基础结构中运行和管理虚拟机至关重要,充当创建和管理虚拟机的核心平台。 如果 Hyper-V 主机发生故障,可能会导致托管虚拟机不可用,这可能会导致停机并中断业务运营。 此外,这可能会导致性能大幅下降和操作挑战。 因此,确保 Hyper-V 主机的可靠性和稳定性对于在虚拟环境中维护无缝操作至关重要。 |
标识
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| 具有特权角色的标识 | 标识 | 高 | 以下标识 (用户、组、服务主体或托管标识) 在订阅范围内分配了内置或自定义特权 Azure RBAC 角色,其中包含关键资源。 该角色可以包括 Azure 角色分配、修改 Azure 策略、使用“运行”命令在 VM 上执行脚本、对存储帐户和密钥保管库的读取访问权限等。 |
| 应用程序管理员 | 标识 | 非常高 | 此角色中的标识可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 |
| 应用程序开发人员 | 标识 | 高 | 此角色中的标识可以创建独立于“用户可以注册应用程序”设置的应用程序注册。 |
| 身份验证管理员 | 标识 | 非常高 | 此角色中的标识可以设置和重置身份验证方法, (包括非管理员用户的密码) 。 |
| Backup Operators | 标识 | 非常高 | 此角色中的标识可以备份和还原计算机上的所有文件,而不管保护这些文件的权限如何。 备份操作员还可以登录到和关闭计算机,并且可以在域控制器上执行备份和还原操作。 |
| 服务器操作员 | 标识 | 非常高 | 此角色中的标识可以管理域控制器。 服务器操作员组的成员可以执行以下操作:以交互方式登录到服务器、创建和删除网络共享资源、启动和停止服务、备份和还原文件、格式化计算机的硬盘驱动器以及关闭计算机。 |
| B2C IEF 密钥集管理员 | 标识 | 高 | 此角色中的标识可以在标识体验框架 (IEF) 中管理联合和加密的机密。 |
| 云应用程序管理员 | 标识 | 非常高 | 此角色中的标识可以创建和管理应用注册和企业应用的所有方面,但应用代理除外。 |
| 云设备管理员 | 标识 | 高 | 此角色中的标识对管理Microsoft Entra ID中的设备具有有限的访问权限。 他们可以启用、禁用和删除Microsoft Entra ID中的设备,并读取Windows 10 BitLocker 密钥 ((如果Azure 门户中存在) )。 |
| 条件访问管理 | 标识 | 高 | 此角色中的标识能够管理Microsoft Entra条件访问设置。 |
| 目录同步帐户 | 标识 | 非常高 | 此角色中的标识能够管理所有目录同步设置。 只能由 Microsoft Entra Connect 服务使用。 |
| 目录作者 | 标识 | 高 | 此角色中的标识可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不适用于用户。 |
| 域管理员 | 标识 | 非常高 | 此角色中的标识有权管理域。 默认情况下,域管理员组是已加入域的所有计算机上的 Administrators 组的成员,包括域控制器。 |
| 企业管理员 | 标识 | 非常高 | 此角色中的标识具有配置所有域控制器的完全访问权限。 此组中的成员可以修改所有管理组的成员身份。 |
| 全局管理员 | 标识 | 非常高 | 此角色中的标识可以管理使用Microsoft Entra标识的Microsoft Entra ID和Microsoft服务的所有方面。 |
| 全局读取者 | 标识 | 高 | 此角色中的标识可以读取全局管理员可以读取的所有内容,但不能更新任何内容。 |
| 帮助台管理员 | 标识 | 非常高 | 此角色中的标识可以重置非管理员和技术支持管理员的密码。 |
| 混合标识管理员 | 标识 | 非常高 | 此角色中的标识可以管理 Active Directory 以Microsoft Entra云预配、Microsoft Entra Connect、直通身份验证 (PTA) 、密码哈希同步 (PHS) 、无缝单一登录 (无缝 SSO) 和联合设置。 |
| Intune管理员 | 标识 | 非常高 | 此角色中的标识可以管理Intune产品的各个方面。 |
| 合作伙伴层级 1 支持 | 标识 | 非常高 | 此角色中的标识可以重置非管理员用户的密码、更新应用程序的凭据、创建和删除用户以及创建 OAuth2 权限授予。 此角色已弃用,将来将从Microsoft Entra ID中删除。 请勿使用 - 不适合一般用途。 |
| 合作伙伴层级 2 支持 | 标识 | 非常高 | 此角色中的标识可以重置所有用户的密码 (包括全局管理员) 、更新应用程序的凭据、创建和删除用户以及创建 OAuth2 权限授予。 此角色已弃用,将来将从Microsoft Entra ID中删除。 请勿使用 - 不适合一般用途。 |
| 密码管理员 | 标识 | 非常高 | 此角色中的标识可以重置非管理员和密码管理员的密码。 |
| 特权身份验证管理员 | 标识 | 非常高 | 此角色中的标识可以查看、设置和重置任何用户 (管理员或非管理员) 的身份验证方法信息。 |
| 特权角色管理员 | 标识 | 非常高 | 此角色中的标识可以管理Microsoft Entra ID中的角色分配以及Privileged Identity Management的各个方面。 |
| 安全管理员 | 标识 | 高 | 此角色中的标识可以读取安全信息和报告,并在Microsoft Entra ID和Office 365中管理配置。 |
| 安全操作员 | 标识 | 高 | 此角色中的标识可以创建和管理安全事件。 |
| 安全信息读取者 | 标识 | 高 | 此角色中的标识可以在 Microsoft Entra ID 和 Office 365 中读取安全信息和报告。 |
| 用户管理员 | 标识 | 非常高 | 此角色中的标识可以管理用户和组的所有方面,包括为受限管理员重置密码。 |
| Exchange 管理员 | 标识 | 高 | 此角色中的标识可以管理 Exchange 产品的各个方面。 |
| SharePoint 管理员 | 标识 | 高 | 此角色中的标识可以管理 SharePoint 服务的各个方面。 |
| 合规性管理员 | 标识 | 高 | 此角色中的标识可以在 Microsoft Entra ID 和 Microsoft 365 中读取和管理合规性配置和报告。 |
| 组管理员 | 标识 | 高 | 此角色中的标识可以创建/管理组和组设置,例如命名和过期策略,以及查看组活动和审核报告。 |
| 外部标识提供者管理员 | 标识 | 非常高 | 此角色中的标识可以配置标识提供者以用于直接联合身份验证。 |
| 域名管理员 | 标识 | 非常高 | 此角色中的标识可以管理云和本地的域名。 |
| 权限管理管理员 | 标识 | 非常高 | 此角色中的标识可以管理Microsoft Entra 权限管理 (EPM) 的各个方面。 |
| 帐务管理员 | 标识 | 高 | 此角色中的标识可以执行常见的计费相关任务,例如更新付款信息。 |
| 许可证管理员 | 标识 | 高 | 此角色中的标识可以管理用户和组的产品许可证。 |
| Teams 管理员 | 标识 | 高 | 此角色中的标识可以管理Microsoft Teams 服务。 |
| 外部 ID用户流管理员 | 标识 | 高 | 此角色中的标识可以创建和管理用户流的各个方面。 |
| 外部 ID用户流属性管理员 | 标识 | 高 | 此角色中的标识可以创建和管理可供所有用户流使用的属性架构。 |
| B2C IEF 策略管理员 | 标识 | 高 | 此角色中的标识可以在标识体验框架 (IEF) 中创建和管理信任框架策略。 |
| 合规数据管理员 | 标识 | 高 | 此角色中的标识可以创建和管理合规性内容。 |
| 身份验证策略管理员 | 标识 | 高 | 此角色中的标识可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。 |
| 知识管理员 | 标识 | 高 | 此角色中的标识可以配置知识、学习和其他智能功能。 |
| 知识经理 | 标识 | 高 | 此角色中的标识可以组织、创建、管理和提升主题和知识。 |
| 属性定义管理员 | 标识 | 高 | 此角色中的标识可以定义和管理自定义安全属性的定义。 |
| 属性分配管理员 | 标识 | 高 | 此角色中的标识可以将自定义安全属性密钥和值分配给受支持的Microsoft Entra对象。 |
| 标识治理管理员 | 标识 | 高 | 此角色中的标识可以使用标识治理方案的Microsoft Entra ID来管理访问权限。 |
| 云应用安全管理员 | 标识 | 高 | 此角色中的标识可以管理Defender for Cloud Apps产品的各个方面。 |
| Windows 365 管理员 | 标识 | 高 | 此角色中的标识可以预配和管理云电脑的各个方面。 |
| Yammer 管理员 | 标识 | 高 | 此角色中的标识可以管理 Yammer 服务的各个方面。 |
| 身份验证扩展性管理员 | 标识 | 高 | 此角色中的标识可以通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。 |
| 生命周期工作流管理员 | 标识 | 高 | 此角色中的标识在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面。 |
云资源
| 分类 | 资产类型 | 默认严重性级别 | 说明 |
|---|---|---|---|
| 包含敏感数据的数据库 | 云资源 | 高 | 这是包含敏感数据的数据存储。 数据的敏感度范围从机密、机密文档、个人身份信息等。 |
| 机密 Azure 虚拟机 | 云资源 | 高 | 此规则适用于 Azure 机密虚拟机。 机密 VM 提供更高的隔离、隐私和加密,并用于关键或高度敏感的数据和工作负载。 |
| 锁定的 Azure 虚拟机 | 云资源 | 中 | 这是由锁保护的虚拟机。 锁用于保护资产免遭删除和修改。 通常,管理员使用锁来保护其环境中的关键云资产,并防止意外删除和未经授权的修改。 |
| 具有高可用性和性能的 Azure 虚拟机 | 云资源 | 低 | 此规则适用于使用高级 Azure 存储并配置了可用性集的 Azure 虚拟机。 高级存储用于具有高性能要求的计算机,例如生产工作负载。 可用性集提高了复原能力,并且通常针对需要高可用性的业务关键型 VM 进行指示。 |
| 不可变 Azure 存储 | 云资源 | 中 | 此规则适用于已启用不可变性支持的 Azure 存储帐户。 不可变性将业务数据存储在读取许多 (WORM) 状态时写入,通常指示存储帐户保存必须防止修改的关键或敏感数据。 |
| 不可变和锁定的 Azure 存储 | 云资源 | 高 | 此规则适用于启用了锁定策略的不可变性支持的 Azure 存储帐户。 不可变性在读取多个 WORM) 后,在写入中存储业务数据 (。 通过锁定策略来增强数据保护,以确保数据无法删除或缩短其保留时间。 这些设置通常指示存储帐户包含必须防止修改或删除的关键或敏感数据。 数据可能还需要与数据保护的合规性策略保持一致。 |
| 已登录关键用户的 Azure 虚拟机 | 云资源 | 高 | 此规则适用于受 Defender for Endpoint 保护的虚拟机,在该虚拟机中,具有较高或非常高的关键性级别的用户已登录。 登录用户可以通过已加入或已注册的设备、活动浏览器会话或其他方式进行。 |
| 具有许多连接标识的 Azure Key Vault | 云资源 | 高 | 与其他 Key Vault 相比,此规则标识可由大量标识访问的密钥保管库。 这通常表示密钥保管库由关键工作负荷(如生产服务)使用。 |
| 锁定Azure Kubernetes 服务群集 | 云资源 | 低 | 这是由锁保护的Azure Kubernetes 服务群集。 锁用于保护资产免遭删除和修改。 通常,管理员使用锁来保护其环境中的关键云资产,并防止意外删除和未经授权的修改。 |
| 高级层Azure Kubernetes 服务群集 | 云资源 | 高 | 此规则适用于具有高级层群集管理的Azure Kubernetes 服务群集。 建议使用高级层来运行需要高可用性和可靠性的生产或任务关键型工作负荷。 |
| 具有多个节点的Azure Kubernetes 服务群集 | 云资源 | 高 | 此规则适用于具有大量节点的Azure Kubernetes 服务群集。 这通常表示群集用于关键工作负荷,例如生产工作负荷。 |
| 具有多个节点的 Azure Arc Kubernetes 群集 | 云资源 | 高 | 此规则适用于具有大量节点的 Azure Arc Kubernetes 群集。 这通常表示群集用于关键工作负荷,例如生产工作负荷。 |