Sdílet prostřednictvím


Microsoft Secure Score

Microsoft Secure Score je měření stavu zabezpečení organizace, přičemž vyšší číslo označuje více doporučených akcí. Najdete ho na stránce Microsoft Secure Score na portálu Microsoft Defender.

Dodržování doporučení skóre zabezpečení může vaši organizaci chránit před hrozbami. Z centralizovaného řídicího panelu na portálu Microsoft Defender můžou organizace monitorovat zabezpečení svých identit, aplikací a zařízení Microsoft 365 a pracovat na nich.

Skóre zabezpečení pomáhá organizacím:

  • Uveďte aktuální stav zabezpečení organizace.
  • Vylepšete stav zabezpečení tím, že poskytnete zjistitelnost, viditelnost, pokyny a kontrolu.
  • Porovnejte s srovnávacími testy a vytvořte klíčové ukazatele výkonu (KPI).

Podívejte se na toto video, kde najdete rychlý přehled skóre zabezpečení.

Organizace získají přístup k robustním vizualizací metrik a trendů, integraci s dalšími produkty Microsoftu, porovnání skóre s podobnými organizacemi a mnoho dalšího. Skóre se může také projevit, když řešení od jiných společností než Microsoft řeší doporučené akce.

Snímek obrazovky znázorňující domovskou stránku Microsoft Secure Score na portálu Microsoft Defender

Jak to funguje…

Body získáte za následující akce:

  • Konfigurace doporučených funkcí zabezpečení
  • Provádění úkolů souvisejících se zabezpečením
  • Řešení doporučené akce pomocí aplikace nebo softwaru jiného uživatele než Microsoftu nebo alternativního zmírnění rizik

Některé doporučené akce poskytují body jenom po úplném dokončení. Některé akce mají za následek částečné body, pokud se pro některá zařízení nebo uživatele dokončí úkoly. Pokud nemůžete nebo nechcete provést některou z doporučených akcí, můžete přijmout riziko nebo zbývající riziko.

Pokud máte licenci na některý z podporovaných produktů Microsoftu, zobrazí se doporučení pro tyto produkty. Ukážeme vám úplnou sadu možných doporučení pro produkt bez ohledu na edici licence, předplatné nebo plán. Tímto způsobem můžete porozumět osvědčeným postupům zabezpečení a zlepšit skóre. Absolutní stav zabezpečení představovaný skóre zabezpečení zůstává stejný bez ohledu na to, jaké licence vaše organizace pro konkrétní produkt vlastní. Mějte na paměti, že zabezpečení by mělo být vyváženo použitelností a ne každé doporučení může pro vaše prostředí fungovat.

Vaše skóre se aktualizuje v reálném čase tak, aby odráželo informace zobrazené ve vizualizacích a na doporučených stránkách akcí. Skóre zabezpečení se také denně synchronizuje, aby za každou akci dostávalo systémová data o dosažených bodech.

Poznámka

U doporučení souvisejících s Microsoft Teams a Microsoft Entra se stav doporučení aktualizuje, když dojde ke změnám stavu konfigurace. Stav doporučení se navíc aktualizuje jednou měsíčně nebo jednou týdně.

Klíčové scénáře

Každá doporučená akce má hodnotu 10 bodů nebo méně a většina z nich je vyhodnocena binárním způsobem. Pokud implementujete doporučenou akci, například vytvoření nové zásady nebo zapnutí konkrétního nastavení, získáte 100 % bodů. U ostatních doporučených akcí se body udělují jako procento celkové konfigurace.

Například doporučená akce uvádí, že získáte 10 bodů tím, že chráníte všechny uživatele pomocí vícefaktorového ověřování. Máte pouze 50 z celkového počtu 100 chráněných uživatelů, takže byste získali částečné skóre pěti bodů (50 chráněných / 100 celkem × 10 maximálních bodů = 5 bodů).

Produkty zahrnuté ve skóre zabezpečení

V současné době existují doporučení pro následující produkty:

  • Zásady správného řízení aplikací
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender pro Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview – ochrana informací
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Zvětšení

Doporučení pro další bezpečnostní produkty budou brzy k dispozici. Doporučení nepokrývají všechny potenciální potenciální plochy útoku spojené s jednotlivými produkty, ale představují dobrý základ. Doporučené akce můžete také označit jako akce, na které se vztahuje řešení jiné společnosti než Microsoft, nebo alternativní zmírnění rizik.

Výchozí hodnoty zabezpečení

Microsoft Secure Score obsahuje aktualizované doporučené akce pro podporu [výchozích nastavení zabezpečení v Microsoft Entra ID](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults, aby bylo snazší chránit vaši organizaci pomocí předkonfigurovaného nastavení zabezpečení pro běžné útoky.

Pokud zapnete výchozí nastavení zabezpečení, obdržíte úplné body za následující doporučené akce:

  • Ujistěte se, že všichni uživatelé můžou dokončit vícefaktorové ověřování pro zabezpečený přístup (devět bodů).
  • Vyžadování vícefaktorového ověřování pro role správce (10 bodů)
  • Povolení zásad pro blokování starší verze ověřování (sedm bodů)

Důležité

Mezi výchozí nastavení zabezpečení patří funkce zabezpečení, které poskytují podobné zabezpečení jako zásady rizik přihlašování a doporučené akce zásad rizik uživatelů. Místo nastavení těchto zásad nad výchozími nastaveními zabezpečení doporučujeme aktualizovat jejich stavy na Resolved through alternative mitigation.

Oprávnění k skóre zabezpečení

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Správa oprávnění pomocí jednotného řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR

Jednotné řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR umožňuje vytvářet vlastní role s konkrétními oprávněními pro skóre zabezpečení. Jednotné řízení přístupu na základě role (RBAC) umožňuje řídit, kteří uživatelé mají přístup k datům skóre zabezpečení, produkty, pro které vidí data skóre zabezpečení (například Microsoft Defender for Endpoint) a úroveň oprávnění k datům.

Můžete také spravovat uživatelská oprávnění pro přístup k datům skóre zabezpečení z dalších zdrojů dat, jako jsou jiné produkty podporované službou Secure Score. Další informace najdete v tématu Produkty zahrnuté do skóre zabezpečení. Data skóre zabezpečení můžete zobrazit z jiných zdrojů dat buď samostatně, nebo společně s ostatními zdroji dat.

Pokud chcete ke správě oprávnění skóre zabezpečení začít používat jednotné řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR Unified RBAC, přečtěte si téma Jednotné řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR.

Poznámka

V současné době se model podporuje jenom na portálu Microsoft Defender. Pokud chcete používat GraphAPI (například pro interní řídicí panely nebo skóre zabezpečení Defenderu for Identity), měli byste dál používat role Microsoft Entra. Podpora GraphAPI se plánuje později.

Oprávnění globálních rolí Microsoft Entra

Globální role Microsoft Entra (například globální správce) je stále možné použít pro přístup ke skóre zabezpečení. Uživatelé, kteří mají podporované globální role Microsoft Entra, ale nejsou přiřazeni k vlastní roli v Microsoft Defender XDR Unified RBAC, mají i nadále přístup k zobrazení (a správě tam, kde je to povoleno) dat skóre zabezpečení, jak je uvedeno:

Následující role mají přístup ke čtení a zápisu a můžou provádět změny, přímo pracovat se skóre zabezpečení a ostatním uživatelům přiřazovat přístup jen pro čtení:

  • Globální správce
  • Správce zabezpečení
  • Správce Exchange
  • Správce SharePointu

Následující role mají přístup jen pro čtení a nemůžou upravovat stav nebo poznámky pro doporučenou akci, upravovat zóny skóre ani upravovat vlastní porovnání:

  • Správce helpdesku
  • Správce uživatelů
  • Správce podpory služeb
  • Čtenář zabezpečení
  • Operátor zabezpečení
  • Globální čtenář

Poznámka

Pokud chcete postupovat podle principu přístupu s nejnižšími oprávněními (při kterém uživatelům a skupinám udělíte oprávnění pouze, aby mohli dělat svou práci), microsoft doporučuje odebrat všechny existující globální role Microsoft Entra se zvýšenými oprávněními pro uživatele nebo skupiny zabezpečení, kterým byla přiřazena vlastní role s oprávněními Skóre zabezpečení. Tím se zajistí, že se projeví vlastní role Microsoft Defender XDR Unified RBAC.

Povědomí o riziku

Microsoft Secure Score je číselný souhrn stavu zabezpečení na základě konfigurací systému, chování uživatelů a dalších měření souvisejících se zabezpečením. Nejedná se o absolutní měřítko pravděpodobnosti narušení vašeho systému nebo dat. Spíše představuje rozsah, v jakém ve svém prostředí Microsoftu používáte bezpečnostní prvky, které vám můžou pomoct vyrovnát riziko porušení zabezpečení. Žádná online služba není imunní vůči porušení zabezpečení a bezpečnostní skóre by se nemělo žádným způsobem interpretovat jako záruka proti narušení zabezpečení.

Chceme znát váš názor.

Pokud máte nějaké problémy, dejte nám vědět tím, že zveřejníte příspěvek v komunitě Zabezpečení, ochrana osobních údajů & Dodržování předpisů .

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.