使用適用於雲端的 Microsoft Defender 安全分數與清查來識別並補救安全性風險

已完成

安全分數概觀

適用於雲端的 Defender 有兩個主要目標：

1. 協助您了解目前的安全性狀況
2. 協助您有效率且有效地提升安全性

適用於雲端的 Defender 中的核心功能為安全分數，可讓您達成那些目標。

適用於雲端的 Defender 會持續針對安全性問題評定跨雲端的資源。 然後將所有的發現彙總成一個分數，讓您可以立即得知目前的安全性情況：分數越高，所識別的風險層級越低。

• 在 [Azure 入口網站] 頁面中，安全分數會顯示為百分比值，而且也會清楚呈現基礎值：

• 在 Azure 行動應用程式中，安全分數會顯示為百分比值，您可以點選安全分數以查看說明分數的詳細資料：

若要提高安全性，請檢閱適用於雲端的 Defender 的建議頁面，並針對每個問題實作補救指示來補救建議。 建議會分組為安全性控制。 每個控制都是相關安全性建議的邏輯群組，而且會反映您的易受攻擊面。 只有在您補救控制項內單一資源的所有建議之後，分數才會改善。 若要了解組織保護每個受攻擊面的成效如何，請檢閱每個安全性控制的分數。

如何計算安全分數

若要取得安全性控制的所有可能點數，您的所有資源都必須遵守安全性控制內的所有安全性建議。 例如，適用於雲端的 Defender 有多個如何保護管理連接埠的相關建議。 您必須補救所有建議，您的安全分數才會產生變化。

控制的範例分數

在此範例中：

• 補救弱點安全性控制 - 此控制群組具有多個與探索並解決已知弱點相關的建議。

• 最高分數 - 完成控制內所有建議可獲得的點數上限。 控制的最高分數表示該控制的相對重要性，且對於每個環境都是固定的。 使用最高分數值以針對要作業的問題先進行分級。

• 目前分數 - 此控制的目前分數。

  目前分數 = [每個資源的分數] * [良好的資源數目]

  每個控制對總分數都有貢獻。 在此範例中，控制對目前的總安全分數貢獻了 2.00 點。

• 潛在增加的分數 - 可供您使用的剩餘點數在您的控制內。 如果您補救此控制中的所有建議，您的分數將會增加 9%。

  潛在增加的分數 = [每個資源的分數] * [狀況不良的資源數目]

• 深入解析 - 為您提供每個建議的額外詳細資料，例如：

  • 預覽建議 - 這項建議不會影響您的安全分數，直到正式發行 (GA) 為止。
  • 修正 - 從建議詳細資料頁面中，您可以使用 [修正] 來解決此問題。
  • 強制執行–從建議詳細資料頁面中，您可以自動部署原則，以便在有人建立不符合規範的資源時修正此問題。
  • 拒絕 – 從建議詳細資料頁面中，您可以避免建立新資源時出現此問題。

安全分數計算中包含哪些建議？

• 只有內建建議會影響安全分數。
• 標示為預覽的建議不會包含在安全分數的計算中。 這些建議仍會盡可能進行補救，以在預覽期間結束時計入您的分數。
• 預覽建議標有：

提高您的安全分數

若要改善您的安全分數，請補救建議清單中的安全性建議。 您可以針對每個資源手動補救每個建議，或使用 [修正] 選項 (可用時) 以快速解決多個資源的問題。

您也可以在相關建議上設定 [強制執行] 和 [拒絕] 選項，以提高您的分數，並確保您的使用者不會建立對分數造成負面影響的資源。

常見問題 (FAQ) 安全分數

如果我只解決安全性控制四個建議中的三個，我的安全分數是否會變更？

否。 在您針對單一資源補救所有建議之前，分數都不會變更。 若要取得控制的最高分數，您必須補救所有資源的所有建議。

如果建議不適用於我，而且我在原則中將其停用，我的安全性控制是否會執行，且我的安全分數是否會更新？

是。 當建議在您的環境中不適用時，我們建議將其停用。

如果安全性控制給我的安全分數是零點，我應該將其忽略嗎？

在某些情況下，您會看到控制最高分數大於零，但影響為零。 當修正資源所增加的分數可以忽略不計時，其會四捨五入為零。 請勿忽略這些建議，因為其仍會帶來安全性改善。 唯一的例外是「其他最佳做法」控制項。 補救這些建議不會增加您的分數，但會增強整體安全性。