Microsoft 安全风险管理 有哪些新增功能?
Microsoft 安全风险管理 (MSEM) 处于积极开发阶段,并不断获得改进。 为了及时了解最新开发,此页面提供了有关新功能、bug 修复和已弃用功能的信息。
此页面会频繁更新Microsoft 安全风险管理中的最新更新。
在此处阅读博客,详细了解 MSEM。
提示
通过复制以下 URL 并将其粘贴到源阅读器中,在此页面更新时收到通知:
https://aka.ms/msem/rss
2024 年 12 月
新的预定义分类
以下预定义分类规则已添加到关键资产列表:
| 分类 | 说明 |
|---|---|
| 锁定Azure Kubernetes 服务群集 | 此规则适用于Azure Kubernetes 服务锁保护的群集。 |
| 高级层Azure Kubernetes 服务群集 | 此规则适用于群集Azure Kubernetes 服务高级层。 |
| 具有多个节点的Azure Kubernetes 服务群集 | 此规则适用于具有多个节点的Azure Kubernetes 服务群集。 |
| 具有多个节点的 Azure Arc Kubernetes 群集 | 此规则适用于具有多个节点的 Azure Arc 群集。 |
有关详细信息,请参阅 预定义分类
适用于Microsoft统一安全操作平台的新文档库
在 Microsoft Defender 门户中查找有关Microsoft统一 SecOps 平台的集中文档。 Microsoft的统一 SecOps 平台将Microsoft Sentinel、Microsoft Defender XDR、Microsoft 安全风险管理和生成 AI 的全部功能汇集到 Defender 门户中。 了解 Microsoft 的统一 SecOps 平台提供的特性和功能,然后开始规划部署。
2024 年 11 月
宣布正式发布Microsoft 安全风险管理
我们很高兴地宣布Microsoft 安全风险管理正式发布。 此功能强大的工具可帮助组织专注于其最关键的曝光情况,并迅速采取行动。 通过在整个数字资产中集成安全见解,它可以全面了解风险状况,从而更快、更明智的决策,在攻击者利用风险之前减少风险。
通过此正式版,你现在可以构建和增强持续威胁暴露管理 (CTEM) 计划,持续识别、优先考虑和缓解整个数字环境的风险。
攻击路径增强功能
混合攻击路径:本地到云
我们现在支持发现和可视化源自本地环境并遍历到云基础结构的混合攻击路径。 我们已为攻击路径引入了新的 “类型”列 ,以显示对在本地和云环境之间转换的混合路径的支持,反之亦然。 此功能使安全团队能够:
- 识别跨环境攻击途径: 了解如何利用本地环境中的漏洞来定位云中的资产。
- 有效地确定修正的优先级: 明确混合基础结构对关键云资产的潜在风险。
- 增强混合防御策略: 使用这些见解来增强本地和云安全态势。
此功能通过提供对互连攻击路径的端到端可见性来弥补在保护混合环境方面的关键差距。
基于 DACL 的路径分析
攻击路径计算现在包括对任意访问控制 Lists (DACL) 的支持,通过合并基于组的权限来提供潜在攻击路径的更准确表示形式。 此增强功能使防御者能够:
- 在解决与权限结构相关的风险时,做出更明智的决策。
- 以攻击者相同的方式查看环境中的风险
- 识别明显使环境面临风险的低悬水果扼流点
有关详细信息,请参阅 查看攻击路径
外部数据连接器
我们引入了新的外部数据连接器来增强数据集成功能,允许从其他安全供应商无缝引入安全数据。 通过这些连接器收集的数据在曝光图中规范化,从而增强设备清单、映射关系,并揭示新的攻击路径,以便全面了解攻击面。 这些连接器可帮助你合并来自各种源的安全态势数据,从而全面了解安全状况。
有关详细信息,请参阅 数据连接器概述。
清单和攻击面图中可用的发现源
设备清单和攻击图面图现在显示每个已发现资产的数据源。 此功能概述了哪些工具或产品报告了每个资产,包括Microsoft和外部连接器(如 Tenable 或 ServiceNow CMDB)。 在清单中,使用 “发现源” 列按报告源筛选设备。 在“攻击面图”中,使用“层”选项切换“发现源”视图。 还可以通过高级搜寻查询设备信息表中的“发现源”。
有关了解来自外部源的数据的详细信息,请参阅 从数据连接器获取价值
OT 安全计划
新的运营技术 (OT) 安全计划为从业者提供了一个强大的工具,用于识别、监视和缓解 OT 环境中的风险,确保操作可靠性和安全性。 此计划旨在跨物理站点识别设备,评估其相关风险,并为 OT 系统提供更快、更有效的保护。
有关详细信息,请参阅 查看安全计划
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) 现在支持Microsoft 安全风险管理
现在,可以使用具有专用和精细权限的 Microsoft Defender XDR统一 Role-Based 访问控制 (RBAC) 权限模型来管理对Microsoft 安全风险管理的访问控制。
此新功能使管理员能够向其状态经理授予访问最低特权访问方法(而不是Microsoft Azure Entra ID 角色)的访问权限,这些角色仍受支持,并且可以根据需要使用。
若要详细了解如何使用统一 RBAC 权限模型Microsoft Defender XDR Microsoft 安全风险管理访问管理,请参阅先决条件和支持。
若要详细了解如何在 Microsoft Defender XDR Unified RBAC 中创建新的自定义角色,请参阅在统一 RBAC Microsoft Defender XDR创建自定义角色。
内容版本控制通知
Microsoft 安全风险管理 中的新版本控制功能提供了有关即将进行的版本更新的主动通知,使用户能够深入了解预期的指标更改及其对相关计划的影响。 专用侧面板提供有关每个更新的全面详细信息,包括预期的发布日期、发行说明、当前和新指标值,以及相关计划分数的任何更改。 此外,用户可以在平台中共享有关更新的直接反馈,从而促进持续改进和响应用户需求。
有关曝光见解的详细信息,请参阅 概述 - 公开见解
指标的暴露历史记录
用户可以通过查看资产暴露更改详细信息来调查指标更改。 从计划的“ 历史记录 ”选项卡中,通过选择特定指标,你现在可以查看已添加或删除风险的资产列表,从而更清楚地了解一段时间内的暴露变化。
有关详细信息,请参阅 查看计划历史记录
SaaS 安全计划
SaaS 安全计划提供 SaaS 安全覆盖范围、运行状况、配置和性能的清晰视图。 通过跨多个域的指标,它使安全管理员能够大致了解其 SaaS 安全状况。
有关详细信息,请参阅 SaaS 安全计划
2024 年 10 月
攻击路径中的新增功能
我们引入了四项新功能,旨在增强安全管理和风险缓解工作。 这些功能提供有关环境中确定的攻击路径的宝贵见解,使你能够有效地确定风险缓解策略的优先级,并减少潜在威胁的影响。
新功能包括:
- 暴露管理概述页上的攻击路径小组件:为用户提供已发现攻击路径的概览性高级视图。 它显示新标识的路径、关键入口点、目标类型等时间线,确保安全团队随时了解新出现的威胁并快速做出响应。
- 攻击路径仪表板:提供环境中所有标识的攻击路径的高级概述。 此功能使安全团队能够深入了解所标识的路径类型、主要入口点、目标资产等,从而帮助有效地确定风险缓解工作的优先级。
- 扼流点:突出显示多个攻击路径相交的关键资产,并将其标识为环境中的关键漏洞。 通过专注于这些扼流点,安全团队可以通过处理影响较高的资产来有效地降低风险,从而防止攻击者通过各种路径前进。
- 爆炸半径:允许用户直观地浏览来自扼流点的路径。 它提供详细的可视化效果,显示一个资产的泄露如何影响其他资产,使安全团队能够更有效地评估攻击的更广泛影响,并确定缓解策略的优先级。
有关详细信息,请参阅 攻击路径概述。
2024 年 9 月
新的企业 IoT 安全计划
通过这项新计划,企业 IoT 安全性提供了一个功能强大的解决方案来识别非托管 IoT 设备并提高安全性。 通过为企业 IoT 设备设计的持续监视、漏洞评估和定制建议,可以全面了解这些设备构成的风险。 此计划不仅可帮助你了解潜在威胁,还能增强组织在缓解威胁方面的复原能力。
有关详细信息,请参阅 查看安全计划
新的预定义分类
以下预定义分类规则已添加到关键资产列表:
| 分类 | 说明 |
|---|---|
| Hyper-V Server | 此规则适用于域中标识为 Hyper-V 服务器的设备。 这些服务器对于在基础结构中运行和管理虚拟机至关重要,充当创建和管理虚拟机的核心平台。 |
有关详细信息,请参阅 预定义分类
为限定范围的用户增强可见性
此更改现在允许仅授予对组织某些设备的访问权限的用户查看其特定范围内的指标、建议、事件和计划历史记录中受影响资产的列表。
有关详细信息,请参阅 先决条件和支持。
主动管理安全态势
阅读高级搜寻中的 ExposureGraphEdges 和 ExposureGraphNodes 表如何通过分析资产关系和潜在漏洞来帮助组织主动管理和了解安全状况。
博客 - Microsoft 安全风险管理图:优先顺序是王道
有关详细信息,请参阅 查询企业曝光图
2024 年 8 月
新的预定义分类
以下预定义 的标识 分类规则已添加到关键资产列表:
| 分类 | 说明 |
|---|---|
| 外部标识提供者管理员 | 此规则适用于分配Microsoft Entra“外部标识提供者管理员”角色的标识。 |
| 域名管理员 | 此规则适用于分配有Microsoft Entra“域名管理员”角色的标识。 |
| 权限管理管理员 | 此规则适用于分配有Microsoft Entra“权限管理管理员”角色的标识。 |
| 帐务管理员 | 此规则适用于分配有Microsoft Entra“计费管理员”角色的标识。 |
| 许可证管理员 | 此规则适用于分配有Microsoft Entra“许可证管理员”角色的标识。 |
| Teams 管理员 | 此规则适用于分配有Microsoft Entra“Teams 管理员”角色的标识。 |
| 外部 ID用户流管理员 | 此规则适用于分配有Microsoft Entra“外部 ID用户流管理员”角色的标识。 |
| 外部 ID用户流属性管理员 | 此规则适用于具有Microsoft Entra“外部 ID用户流属性管理员”角色的标识。 |
| B2C IEF 策略管理员 | 此规则适用于分配Microsoft Entra“B2C IEF 策略管理员”角色的标识。 |
| 合规数据管理员 | 此规则适用于分配有Microsoft Entra“合规性数据管理员”角色的标识。 |
| 身份验证策略管理员 | 此规则适用于分配有Microsoft Entra“身份验证策略管理员”角色的标识。 |
| 知识管理员 | 此规则适用于分配有Microsoft Entra“知识管理员”角色的标识。 |
| 知识经理 | 此规则适用于分配有Microsoft Entra“知识管理员”角色的标识。 |
| 属性定义管理员 | 此规则适用于分配有Microsoft Entra“属性定义管理员”角色的标识。 |
| 属性分配管理员 | 此规则适用于具有Microsoft Entra“属性分配管理员”角色的标识。 |
| 标识治理管理员 | 此规则适用于分配有Microsoft Entra“标识治理管理员”角色的标识。 |
| 云应用安全管理员 | 此规则适用于分配有Microsoft Entra“云应用安全管理员”角色的标识。 |
| Windows 365 管理员 | 此规则适用于分配有Microsoft Entra“Windows 365管理员”角色的标识。 |
| Yammer 管理员 | 此规则适用于分配Microsoft Entra“Yammer 管理员”角色的标识。 |
| 身份验证扩展性管理员 | 此规则适用于分配有Microsoft Entra“身份验证扩展性管理员”角色的标识。 |
| 生命周期工作流管理员 | 此规则适用于分配有Microsoft Entra“生命周期工作流管理员”角色的标识。 |
有关详细信息,请参阅 预定义分类
新计划事件
已创建新的事件类型,以便在将新计划添加到 MSEM 时通知用户。
有关详细信息,请参阅 概述 - 曝光见解
来自研究团队的新闻
阅读此博客-弥合本地与云安全差距:云凭据检测中有关研究团队工作的详细信息
2024 年 7 月
新的预定义分类
以下预定义分类规则已添加到关键资产列表:
| 分类 | 说明 |
|---|---|
| Exchange | 此规则适用于域中标识为可操作 Exchange 服务器的设备。 这些服务器可能保存组织的敏感数据。 |
| VMware ESXi | 此规则适用于标识为运行 ESXi 服务器的设备。 这些设备可能包含其他敏感或关键设备。 |
| VMware vCenter | 此规则适用于标识为可操作 VMware vCenter 且管理员经常用来管理虚拟基础结构的设备。 |
| 具有特权 Azure 角色的标识 | 此规则适用于分配有特权 Azure 角色的标识,范围可能具有业务关键范围。 |
| Exchange 管理员 | 此规则适用于分配有Microsoft Entra“Exchange 管理员”角色的标识。 |
| SharePoint 管理员 | 此规则适用于分配有Microsoft Entra“SharePoint 管理员”角色的标识。 |
| 合规性管理员 | 此规则适用于分配有Microsoft Entra“合规性管理员”角色的标识。 |
| 组管理员 | 此规则适用于分配有Microsoft Entra“组管理员”角色的标识。 |
| 机密 Azure 虚拟机 | 此规则适用于 Azure 机密虚拟机。 |
| 锁定的 Azure 虚拟机 | 此规则适用于由锁保护的 Azure 虚拟机。 |
| 具有高可用性和性能的 Azure 虚拟机 | 此规则适用于使用高级 Azure 存储并配置了可用性集的 Azure 虚拟机。 |
| 不可变 Azure 存储 | 此规则适用于已启用不可变性支持的 Azure 存储帐户。 |
| 不可变和锁定的 Azure 存储 | 此规则适用于启用了锁定策略的不可变性支持的 Azure 存储帐户。 |
| Azure 虚拟机具有关键登录用户 | 此规则适用于 Azure 虚拟机,其关键用户登录受 Defender for Endpoint 保护,且用户登录程度高或非常高。 |
| 具有许多连接标识的 Azure Key Vault | 与其他规则相比,此规则适用于具有高访问权限的 Azure Key Vault,指示关键工作负荷使用情况。 |
有关详细信息,请参阅 预定义分类
2024 年 5 月
与威胁分析集成
与威胁分析的新集成,通过基于威胁的安全计划来增强域安全计划集。 这些举措侧重于特定的攻击技术和主动威胁参与者,由专家Microsoft安全研究人员看到和分析。
博客 - 通过曝光管理响应趋势威胁并采用零信任
有关详细信息,请参阅 查看安全计划
新的曝光管理表
MSEM 在高级搜寻中发布了两个新的功能强大的表: ExposureGraphNodes 和 ExposureGraphEdges。
有关详细信息,请参阅 查询企业曝光图
2024 年 4 月
关键资产保护
Microsoft 安全风险管理引入了基于上下文风险的方法,使组织能够有效地识别关键资产并设置其优先级。 通过实时评估潜在风险,安全团队可以明确并专注于保护其数字资产。
有关详细信息,请参阅 关键资产管理概述