مراجعة التوصيات المتعلقة بالأمان
في Microsoft Defender for Cloud، يتم تقييم الموارد وأحمال العمل مقابل معايير الأمان المضمنة والمخصصة الممكنة في اشتراكات Azure وحسابات AWS ومشاريع GCP. واستنادا إلى تلك التقييمات، توفر التوصيات الأمنية خطوات عملية لمعالجة المسائل الأمنية وتحسين الوضع الأمني.
يستخدم Defender for Cloud بشكل استباقي محركا ديناميكيا يقيم المخاطر في بيئتك مع مراعاة إمكانية الاستغلال وتأثير الأعمال المحتمل على مؤسستك. يحدد المحرك أولويات توصيات الأمان استنادا إلى عوامل الخطر لكل مورد، والتي يتم تحديدها بواسطة سياق البيئة، بما في ذلك تكوين المورد واتصالات الشبكة ووضع الأمان.
المتطلبات الأساسية
- يجب تمكين إدارة وضع الأمان السحابي في Defender على البيئة الخاصة بك.
إشعار
يتم تضمين التوصيات بشكل افتراضي مع Defender for Cloud، ولكن لن تتمكن من رؤية ترتيب أولويات المخاطر دون تمكين إدارة وضع الأمان السحابي في Defender على بيئتك.
مراجعة تفاصيل التوصية
من المهم مراجعة جميع التفاصيل المتعلقة بالتوصية قبل محاولة فهم العملية اللازمة لحل التوصية. نوصي بالتأكد من صحة جميع تفاصيل التوصية قبل حل التوصية.
لمراجعة تفاصيل التوصية:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Defender for Cloud> التوصيات.
حدد توصية.
في صفحة التوصية، راجع التفاصيل:
- مستوى المخاطر - قابلية الاستغلال والتأثير التجاري لقضية الأمان الأساسية، مع مراعاة سياق الموارد البيئية مثل: التعرض للإنترنت والبيانات الحساسة والحركة الجانبية والمزيد.
- عوامل الخطر - العوامل البيئية للمورد المتأثر بالتوصية، والتي تؤثر على قابلية الاستغلال وتأثير الأعمال التجارية لقضية الأمان الأساسية. تتضمن أمثلة عوامل الخطر التعرض للإنترنت والبيانات الحساسة وإمكانية الحركة الجانبية.
- المورد - اسم المورد المتأثر.
- الحالة - حالة التوصية. على سبيل المثال، غير معينة، في الوقت المحدد، متأخرة.
- الوصف - وصف مختصر لمشكلة الأمان.
- مسارات الهجوم - عدد مسارات الهجوم.
- النطاق - الاشتراك أو المورد المتأثر.
- حداثة - الفاصل الزمني للتحدياث للتوصية.
- تاريخ التغيير الأخير - تاريخ التغيير الأخير لهذه التوصية
- المالك - الشخص المعين لهذه التوصية.
- تاريخ الاستحقاق - التاريخ المعين الذي يجب حل التوصية به.
- التكتيكات والتقنيات - التكتيكات والتقنيات المعينة إلى MITRE ATT&CK.
استكشاف توصية
يمكنك تنفيذ العديد من الإجراءات للتفاعل مع التوصيات. إذا لم يكن أحد الخيارات متوفرا، فهو غير مناسب للتوصية.
لاستكشاف توصية:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Defender for Cloud> التوصيات.
حدد توصية.
في التوصية، يمكنك تنفيذ الإجراءات التالية:
حدد فتح استعلام لعرض معلومات مفصلة حول الموارد المتأثرة باستخدام استعلام Azure Resource Graph Explorer.
حدد عرض تعريف النهج لعرض إدخال نهج Azure للتوصية الأساسية (إذا كان ذلك مناسبا).
في اتخاذ إجراء:
المعالجة: وصف للخطوات اليدوية المطلوبة لمعالجة مشكلة الأمان على الموارد المتأثرة. للحصول على توصيات باستخدام الخيار إصلاح ، يمكنك تحديد عرض منطق المعالجة قبل تطبيق الإصلاح المقترح على مواردك.
تعيين المالك وتاريخ الاستحقاق: إذا كانت لديك قاعدة إدارة قيد التشغيل للتوصية، يمكنك تعيين مالك وتاريخ استحقاق.
الاستثناء: يمكنك إعفاء الموارد من التوصية، أو تعطيل نتائج محددة باستخدام قواعد التعطيل.
أتمتة سير العمل: قم بتعيين تطبيق منطقي لتشغيله بهذه التوصية.
في النتائج، يمكنك مراجعة النتائج التابعة حسب الخطورة.
في الرسم البياني، يمكنك عرض جميع السياقات المستخدمة لتحديد أولويات المخاطر والتحقيق فيها، بما في ذلك مسارات الهجوم. يمكنك تحديد عقدة في مسار هجوم لعرض تفاصيل العقدة المحددة.
حدد عقدة لعرض تفاصيل إضافية.
حدد Insights.
في القائمة المنسدلة للثغرة الأمنية، حدد ثغرة أمنية لعرض التفاصيل.
(اختياري) حدد فتح صفحة الثغرة الأمنية لعرض صفحة التوصية المقترنة.
توصيات المجموعة حسب العنوان
تتيح لك صفحة توصية Defender for Cloud تجميع التوصيات حسب العنوان. هذه الميزة مفيدة عندما تريد معالجة توصية تؤثر على موارد متعددة بسبب مشكلة أمان معينة.
لتجميع التوصيات حسب العنوان:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Defender for Cloud> التوصيات.
حدد تجميع حسب العنوان.
إدارة التوصيات المعينة لك
يدعم Defender for Cloud قواعد الحوكمة للتوصيات، لتحديد مالك التوصية أو تاريخ استحقاق الإجراء. تساعد قواعد الحوكمة على ضمان المساءلة واتفاقية مستوى الخدمة للتوصيات.
- يتم سرد التوصيات ك في الوقت المحدد حتى يتم تمرير تاريخ استحقاقه، عندما يتم تغييره إلى متأخر.
- قبل تأخر التوصية، لا تؤثر التوصية على درجة الأمان.
- يمكنك أيضا تطبيق فترة سماح تستمر خلالها التوصيات المتأخرة في عدم التأثير على درجة الأمان.
تعرف على المزيد حول تكوين قواعد الحوكمة.
لإدارة التوصيات المعينة لك:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Defender for Cloud> التوصيات.
حدد إضافة مالك عامل التصفية>.
حدد إدخال المستخدم الخاص بك.
حدد تطبيق.
في نتائج التوصية، راجع التوصيات، بما في ذلك الموارد المتأثرة وعوامل الخطر ومسارات الهجوم وتواريخ الاستحقاق والحالة.
حدد توصية لمراجعتها بشكل أكبر.
في اتخاذ إجراء>تغيير المالك وتاريخ الاستحقاق، حدد تحرير التعيين لتغيير مالك التوصية وتاريخ الاستحقاق إذا لزم الأمر.
- بشكل افتراضي، يحصل مالك المورد على بريد إلكتروني أسبوعي يسرد التوصيات المعينة له.
- إذا قمت بتحديد تاريخ معالجة جديد، في التبرير ، حدد أسباب المعالجة بحلول ذلك التاريخ.
- في تعيين إعلامات البريد الإلكتروني، يمكنك:
- تجاوز البريد الإلكتروني الأسبوعي الافتراضي إلى المالك.
- إعلام المالكين أسبوعيا بقائمة بالمهام المفتوحة/المتأخرة.
- قم بإعلام المدير المباشر للمالك بقائمة مهام مفتوحة.
حدد حفظ.
إشعار
لا يؤدي تغيير تاريخ الاكتمال المتوقع إلى تغيير تاريخ استحقاق التوصية، ولكن يمكن لشركاء الأمان رؤية أنك تخطط لتحديث الموارد بحلول التاريخ المحدد.
مراجعة التوصيات في Azure Resource Graph
يمكنك استخدام Azure Resource Graph لكتابة لغة استعلام Kusto (KQL) للاستعلام عن بيانات وضع أمان Defender for Cloud عبر اشتراكات متعددة. يوفر Azure Resource Graph طريقة فعالة للاستعلام على نطاق واسع عبر بيئات السحابة من خلال عرض البيانات وتصفيتها وتجميعها وفرزها.
لمراجعة التوصيات في Azure Resource Graph:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Defender for Cloud> التوصيات.
حدد توصية.
حدد Open query.
يمكنك فتح الاستعلام بإحدى طريقتين:
- استعلام إرجاع المورد المتأثر - إرجاع قائمة بجميع الموارد المتأثرة بهذه التوصية.
- استعلام إرجاع نتائج الأمان - إرجاع قائمة بجميع مشكلات الأمان التي تم العثور عليها بواسطة التوصية.
حدد تشغيل الاستعلام.
راجع النتائج.
مثال
في هذا المثال، تعرض صفحة تفاصيل التوصية هذه 15 موردا متأثرا:
عند فتح الاستعلام الأساسي وتشغيله، يقوم Azure Resource Graph Explorer بإرجاع نفس الموارد المتأثرة لهذه التوصية.