Kontrola doporučení zabezpečení

V Microsoft Defender for Cloud se prostředky a úlohy posuzují na základě předdefinovaných a vlastních zásad zabezpečení a architektur dodržování právních předpisů, které použijete ve vašich cloudových prostředích (Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a dalších. Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky k nápravě problémů se zabezpečením a zlepšení stavu zabezpečení.

Podrobné informace o bezpečnostních doporučeních, včetně rizikových faktorů, prioritizace a klasifikace, naleznete v sekci Bezpečnostní doporučení.

Poznámka:

Na portálu se některá doporučení, která se dříve zobrazovala jako jedna agregovaná položka, se teď zobrazují jako několik jednotlivých doporučení. Tato změna odráží posun od seskupení souvisejících zjištění v rámci jednoho doporučení, aby bylo každé doporučení uvedené samostatně.

• V porovnání s předchozími doporučeními se může zobrazit delší seznam. Kombinovaná zjištění (například ohrožení zabezpečení, vystavené tajné kódy nebo chybné konfigurace) se teď zobrazují jako jednotlivá doporučení, nikoli vnořená do nadřazeného doporučení.
• Stará seskupená doporučení se zatím zobrazují vedle nového formátu, ale nakonec budou postupně vyřazena.
• Tato doporučení jsou označená jako Preview. Tato značka označuje, že doporučení je v raném stavu a ještě nemá vliv na skóre zabezpečení.
• Skóre zabezpečení se momentálně vztahuje pouze na hlavní doporučení, ne na každou jednotlivou položku.

Pokud se při přechodu zobrazí oba formáty nebo doporučení se značkou Preview, očekává se během přechodu tato podmínka. Cílem je zlepšit srozumitelnost a umožnit vám snadněji reagovat na konkrétní doporučení. Další informace najdete v tématu Přechod ze seskupených na jednotlivá doporučení.

Požadavky

Doporučení jsou součástí programu Defender for Cloud, ale pokud ve svém prostředí nepovolíte funkci CSPM defenderu, neuvidíte stanovení priority rizik .

Kontrola stránky s doporučeními

Než je vyřešíte, zkontrolujte doporučení a ujistěte se, že jsou všechny podrobnosti správné.

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Clouddoporučení.

3. Použijte filtry, například:

   • Vystavený prostředek: Filtrujte podle prostředků s expozicí hrozbám.
   • Rizikové faktory aktiv: Filtrujte podle konkrétních rizikových podmínek.
   • Environment: Filtrování podle Azure, AWS nebo GCP.
   • Úloha: Filtrování podle konkrétních typů úloh
   • Vyspělost doporučení: Filtrujte podle úrovně připravenosti doporučení.

4. Na levé straně stránky můžete zobrazit doporučení podle kategorie zabezpečení:

   • Všechna doporučení: Úplný seznam doporučení zabezpečení
   • Chybné konfigurace: Problémy se zabezpečením souvisejícími s konfigurací
   • Ohrožení zabezpečení: Chyby zabezpečení softwaru vyžadující opravy
   • Vystavené tajné kódy: Přihlašovací údaje a tajné kódy, které mohou být ohroženy.

Tyto karty kategorií vám můžou pomoct zaměřit zobrazení podle kategorie zabezpečení, abyste se mohli rozhodnout zobrazit všechno najednou nebo přejít k podrobnostem o konkrétních oblastech.

Poznámka:

Když vyberete filtr kategorií zabezpečení, aktualizuje se seznam doporučení i souhrnná karta tak, aby odrážely pouze doporučení v dané kategorii.

1. Vyberte doporučení.

Zobrazení doporučení

Portál Azure nabízí tři různé způsoby zobrazení a interakce s doporučeními:

Ploché zobrazení seznamu

Toto zobrazení zobrazuje seznam všech doporučení uspořádaných podle jednotlivých aktiv seřazených podle úrovně rizika. Každý řádek představuje jedno doporučení ovlivňující konkrétní prostředek.

Když vyberete řádek doporučení, otevře se boční panel:

• Přehled: Obecné informace o doporučení, včetně jeho popisu, podrobností o odhaleném prostředku a dalších relevantních aspektů doporučení
• Nápravné kroky: Užitečné pokyny k vyřešení problému se zabezpečením
• Náhled mapy: Zobrazí všechny související cesty útoku procházející aktivem, které jsou agregované podle typu cílového uzlu. Můžeš:
  • Výběrem agregované cesty zobrazíte všechny přidružené útoky a další cesty.
  • Výběrem konkrétní cesty zobrazíte její podrobnou vizualizaci.
• Související iniciativy: Iniciativy zabezpečení a architektury dodržování předpisů přidružené k doporučení
• U konkrétních doporučení s relevantními kontextovými informacemi se můžou zobrazit další karty.

Zobrazení prostředků

Kromě Group by title podporuje portál Azure také Group by resource. Tato akce seskupí všechna zjištění pro stejný prostředek na jednom místě, což je užitečné, když je jeden vlastník zodpovědný za prostředek a měl by přijímat všechna svá zjištění společně.

Pohled na název doporučení

Toto zobrazení agreguje doporučení podle názvu a zobrazuje konsolidovaný seznam seřazený podle úrovně rizika. Každý řádek představuje všechny instance konkrétního doporučení ve vašem prostředí.

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Clouddoporučení.

3. Vyberte Seskupovat podle názvu.

   Snímek obrazovky se stránkou s doporučeními, která zobrazuje umístění přepínače Seskupování podle názvu

Když vyberete agregovaný řádek doporučení, otevře se boční panel zobrazující:

• Přehled: Obecné informace, včetně popisu doporučení, distribuce na úrovni rizika napříč ovlivněnými prostředky, stavem zásad správného řízení a dalšími relevantními podrobnostmi
• Nápravné kroky: Užitečné pokyny k vyřešení problému se zabezpečením
• Vystavené prostředky: Seznam všech prostředků ovlivněných tímto doporučením
• Související iniciativy: Iniciativy zabezpečení a architektury dodržování předpisů přidružené k doporučení
• U konkrétních doporučení s relevantními kontextovými informacemi se můžou zobrazit další karty.

Poznámka:

Tato funkce je aktuálně ve verzi Preview. Podrobnosti o aktuálních mezerách a omezeních najdete v tématu Známá omezení.

Stránka Doporučení ve správě ohrožení poskytuje seznam akcí zabezpečení navržených tak, aby zlepšil stav zabezpečení cloudu tím, že řeší chyby zabezpečení, chybné konfigurace a vystavené tajné kódy. Tato doporučení jsou seřazená podle efektivního rizika a pomáhají týmům zabezpečení zaměřit se na nejdůležitější hrozby.

1. Přihlaste se k portálu Microsoft Defender.

2. Přejděte na kartu Správa expozicDoporučeníCloud.

   Snímek obrazovky se stránkou Doporučení na portálu Defender

3. Použijte filtry, například:

   • Vystavený prostředek: Filtrujte podle prostředků s expozicí hrozbám.
   • Rizikové faktory aktiv: Filtrujte podle konkrétních rizikových podmínek.
   • Environment: Filtrování podle Azure, AWS nebo GCP.
   • Úloha: Filtrování podle konkrétních typů úloh
   • Vyspělost doporučení: Filtrujte podle úrovně připravenosti doporučení.

4. Na levé straně stránky můžete zobrazit doporučení podle kategorie zabezpečení:

   • Všechna doporučení: Úplný seznam doporučení zabezpečení
   • Chybné konfigurace: Problémy se zabezpečením souvisejícími s konfigurací
   • Ohrožení zabezpečení: Chyby zabezpečení softwaru vyžadující opravy
   • Vystavené tajné kódy: Přihlašovací údaje a tajné kódy, které mohou být ohroženy.

   Poznámka:

   Když vyberete filtr kategorií zabezpečení, aktualizuje se seznam doporučení i souhrnná karta tak, aby odrážely pouze doporučení v dané kategorii.

Karty souhrnu doporučení

V každém zobrazení se na stránce zobrazují souhrnné karty, které poskytují přehled o stavu cloudového zabezpečení:

• Skóre zabezpečení cloudu: Zobrazuje celkový stav zabezpečení cloudu na základě doporučení zabezpečení ve vašem prostředí.
• Historie skóre: Sleduje změny skóre zabezpečení za posledních 7 dnů a pomáhá identifikovat trendy a měřit zlepšení.
• Doporučení podle úrovně rizika: Shrnuje počet aktivních doporučení zabezpečení zařazených do kategorií podle závažnosti (kritické, vysoké, střední, nízké).
• Způsob výpočtu úrovně rizika: Vysvětluje, jak se hodnocení závažnosti a rizikové faktory specifické pro aktiva zkombinují, aby bylo možné určit celkovou úroveň rizika pro každé doporučení.

Zobrazení doporučení

Portál Defender nabízí dva různé způsoby zobrazení a interakce s doporučeními:

Doporučení pro zobrazení assetu

Toto zobrazení zobrazuje seznam všech doporučení uspořádaných podle jednotlivých aktiv seřazených podle úrovně rizika. Každý řádek představuje jedno doporučení ovlivňující konkrétní prostředek.

Když vyberete řádek doporučení, otevře se boční panel:

• Přehled: Obecné informace o doporučení, včetně jeho popisu, podrobností o odhaleném prostředku a dalších relevantních aspektů doporučení
• Nápravné kroky: Užitečné pokyny k vyřešení problému se zabezpečením
• Náhled mapy: Zobrazí všechny související cesty útoku procházející aktivem, které jsou agregované podle typu cílového uzlu. Můžeš:
  • Výběrem agregované cesty zobrazíte všechny přidružené útoky a další cesty.
  • Výběrem konkrétní cesty zobrazíte její podrobnou vizualizaci.
• Související iniciativy: Iniciativy zabezpečení a architektury dodržování předpisů přidružené k doporučení
• U konkrétních doporučení s relevantními kontextovými informacemi se můžou zobrazit další karty.

Pohled na název doporučení

Toto zobrazení agreguje doporučení podle názvu a zobrazuje konsolidovaný seznam seřazený podle úrovně rizika. Každý řádek představuje všechny instance konkrétního doporučení ve vašem prostředí.

Když vyberete agregovaný řádek doporučení, otevře se boční panel zobrazující:

• Přehled: Obecné informace, včetně popisu doporučení, distribuce na úrovni rizika napříč ovlivněnými prostředky, stavem zásad správného řízení a dalšími relevantními podrobnostmi
• Nápravné kroky: Užitečné pokyny k vyřešení problému se zabezpečením
• Vystavené prostředky: Seznam všech prostředků ovlivněných tímto doporučením
• Související iniciativy: Iniciativy zabezpečení a architektury dodržování předpisů přidružené k doporučení
• U konkrétních doporučení s relevantními kontextovými informacemi se můžou zobrazit další karty.

Doporučení pro každý pohled na prostředky

Kromě seskupení podle názvu portál podporuje seskupení podle prostředku. Tato akce seskupí všechna zjištění pro stejný prostředek na jednom místě, což je užitečné, když je jeden vlastník zodpovědný za prostředek a měl by přijímat všechna svá zjištění společně.

Snímek obrazovky bočního podokna doporučení

Alternativní přístupové cesty k doporučením:

• Cloudová infrastrukturaPřehledStav zabezpečeníDoporučení zabezpečeníZobrazení doporučení
• Řízení expoziceIniciativyZabezpečení clouduOtevřít stránku iniciativyKarta Doporučení zabezpečení

Poznámka:

Proč můžete vidět různé prostředky mezi portálem Azure a portálem Defender:

• Deleted resources: Můžete si všimnout, že odstraněné prostředky se stále zobrazují na portálu Azure. K této podmínce dochází, protože portál Azure aktuálně zobrazuje poslední známý stav prostředků. Produktový tým pracuje na odstranění tohoto stavu, aby se odstraněné prostředky již nezobrazovaly.
• Azure Policy resources: Některé prostředky, které pocházejí z Azure Policy, se nemusí na portálu Defender zobrazit. Během náhledu portál zobrazuje jen prostředky, které mají zabezpečovací kontext a přispívají ke smysluplným přehledům zabezpečení.
• Prostředky vázané na bezplatná předplatná se momentálně nezobrazují na portálu Defender.

Prozkoumejte doporučení

S doporučeními můžete pracovat několika způsoby. Pokud není dostupná možnost, tato možnost není pro doporučení relevantní.

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Clouddoporučení.

3. Vyberte doporučení.

4. V Podniknout akci:

   • Náprava: Popis ručních kroků potřebných k vyřešení problému se zabezpečením ovlivněných prostředků. U doporučení s možností Opravit můžete před použitím navrhované opravy u vašich prostředků vybrat zobrazit logiku nápravy.
   • Vlastník doporučení a nastavení termínu splnění: Pokud pro doporučení povolíte pravidlo zásad správného řízení , můžete přiřadit vlastníka a termín splnění.
   • Výjimka: Prostředky můžete vyloučit z doporučení nebo zakázat konkrétní zjištění pomocí pravidel zákazu.
   • Automatizace pracovního postupu: Nastavte aplikaci logiky, která se má aktivovat s doporučením.

   Poznámka:

   S novým individuálním formátem doporučení funguje správa na úrovni zjištění. Můžete přiřadit vlastníky a termíny splnění konkrétním zjištěním a pomocí pravidel správy se značkami zdrojů (například Team: DataPlatform) můžete automaticky směrovat doporučení ke správným vlastníkům nebo frontám.

Snímek obrazovky znázorňující kartu Provést akci s možnostmi pro nápravu, přiřazení vlastníka a termínu splnění, vyloučení a automatizaci pracovního postupu

1. V Graphu zobrazte a prozkoumejte veškerý kontext, který se používá pro stanovení priority rizik, včetně cest útoku. Pokud chcete zobrazit podrobnosti vybraného uzlu, můžete vybrat uzel v cestě útoku.

   Snímek obrazovky znázorňující kartu Graf v doporučení, včetně všech cest útoku pro toto doporučení

2. Pokud chcete zobrazit další podrobnosti, vyberte uzel.

   Snímek obrazovky znázorňující kartu Graf s vybraným uzlem zobrazující další podrobnosti

3. Vyberte Insights.

4. Pokud chcete zobrazit podrobnosti, vyberte v rozevírací nabídce ohrožení zabezpečení.

   Snímek obrazovky záložky Přehledy pro uzel

5. (Volitelné) Pokud chcete zobrazit přidruženou stránku doporučení, vyberte Otevřít stránku ohrožení zabezpečení.

6. Opravte doporučení.

Poznámka:

Během přechodu verze Preview se u určitých doporučení můžou zobrazit indikátory verze Preview a Nové verze. Tyto značky rozlišují nové jednotlivé položky od seskupených položek zobrazených vedle sebe. Pomocí filtrů můžete v případě potřeby omezit zobrazení na jeden formát. Snímek obrazovky s rozhraním značek doporučení zobrazující možnosti pro novou verzi a Nastavení pro vyřazení doporučení

Na portálu Defender můžete s doporučeními pracovat několika způsoby prostřednictvím prostředí pro správu expozice. Jakmile vyberete doporučení z karty Řízení ExpoziceDoporučeníCloudu, můžete prozkoumat podrobné informace a provést akci.

Použijte filtry a sady filtrů, jako jsou exponovaný majetek, rizikové faktory aktiv, prostředí, úloha, vyspělost doporučení a další.

V levém navigačním podokně můžete buď zobrazit všechna doporučení, nebo zobrazení podle konkrétní kategorie.

Pro typy problémů existují samostatná zobrazení:

• Chybné konfigurace
• Slabá místa
• Odhalená tajemství

Pro každé zobrazení se zobrazí skóre zabezpečení cloudu, historie skóre, doporučení podle úrovně rizika a způsob výpočtu rizika.

Integrací defenderu pro cloud na portálu Defender můžete také získat přístup k vylepšeným cloudovým doporučením prostřednictvím sjednoceného rozhraní.

Mezi klíčová vylepšení prostředí doporučení pro cloud patří:

• Rizikové faktory na aktivum: Vyhodnoťte širší kontext vystavení každého doporučení, aby byla učiněna informovaná rozhodnutí.
• Bodování na základě rizika: Nové bodování, které váží doporučení na základě závažnosti, kontextu aktiv a potenciálního dopadu.
• Enhanced data: Základní data doporučení z Azure Recommendations rozšířená o další pole a funkce z Exposure Management.
• Prioritizované podle závažnosti: Větší důraz na kritické problémy, které představují nejvyšší riziko pro vaši organizaci.

Jednotné prostředí zajišťuje kontext doporučení zabezpečení cloudu v širším prostředí zabezpečení, což umožňuje informovanější rozhodovací a efektivnější pracovní postupy nápravy.

Další informace o porozumění úrovním rizik, klasifikaci doporučení a podrobným vysvětlení polí řídicího panelu doporučení najdete v tématu Doporučení zabezpečení.

Správa přiřazených doporučení

Defender for Cloud podporuje pravidla zásad správného řízení pro doporučení. Můžete přiřadit vlastníka doporučení nebo termín splnění. Odpovědnost můžete zajistit pomocí pravidel zásad správného řízení, která také podporují smlouvu o úrovni služeb (SLA) pro doporučení.

• Doporučení se zobrazují jako Načas, dokud neprojde jejich termín splnění. Pak se změní na Overdue.
• Pokud doporučení není klasifikováno jako Overdue, nemá to vliv na vaše Microsoft Secure Score.
• Můžete také použít období odkladu, aby nepřehlácená doporučení neměla vliv na vaše bezpečnostní skóre.

Poznámka:

Během období Preview jsou nová jednotlivá doporučení označená jako Preview a neovlivňují bezpečnostní skóre na základě rizika, dokud formát nedosáhne fáze GA. Starší položky GA nadále působí na skóre stejně jako dříve.

Přečtěte si další informace o konfiguraci pravidel zásad správného řízení.

Zobrazení všech přiřazených doporučení:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Clouddoporučení.

3. Vyberte Přidat vlastníka filtru.

4. Vyberte položku uživatele.

5. Vyberte a použijte.

6. Ve výsledcích doporučení přezkoumejte doporučení, včetně zasažených zdrojů, rizikových faktorů, možných cest útoků, stanovených termínů a aktuálního stavu.

7. Vyberte doporučení, abyste ho mohli dále zkontrolovat.

Pokud chcete provést změny přiřazení, proveďte následující kroky:

1. Přejděte k Podniknout akciZměnit vlastníka a lhůtu splnění.

2. Výběrem Upravit zadání můžete změnit vlastníka doporučení nebo termín splnění.

3. Pokud vyberete nové datum nápravy, zadejte, proč má být náprava dokončena do tohoto data v odůvodnění.   

4. Vyberte Uložit.

   Poznámka:

   Když změníte očekávané datum dokončení, termín splnění doporučení se nezmění, ale partneři zabezpečení uvidí, že plánujete aktualizovat prostředky podle zadaného data.

Ve výchozím nastavení obdrží vlastník prostředku týdenní e-mail, který zobrazuje všechna doporučení přiřazená jim.

Pomocí možnosti Nastavit e-mailová oznámení můžete:

• Přepište výchozí týdenní e-mail vlastníkovi.
• Upozorněte vlastníky každý týden na seznam otevřených nebo nadlimitních úkolů.
• Upozorněte přímého nadřízený vlastníka pomocí otevřeného seznamu úkolů.

Kontrola doporučení v Azure Resource Graph

Pomocí Azure Resource Graph můžete napsat dotaz v Jazyce dotazů Kusto (KQL) na data o stavu zabezpečení cloudu z Defenderu napříč několika předplatnými. Pomocí Azure Resource Graph můžete efektivně dotazovat v různých cloudových prostředích zobrazením, filtrováním, seskupováním a řazením dat.

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Clouddoporučení.

3. Vyberte doporučení.

4. Vyberte Otevřít dotaz.

5. Dotaz můžete otevřít jedním ze dvou způsobů:

   • Dotaz vracející ovlivněný prostředek: Vrátí seznam všech prostředků, které doporučení ovlivňuje.
   • Dotaz vracející zjištění zabezpečení: Vrátí seznam všech problémů se zabezpečením, které doporučení našlo.

6. Vyberte spustit dotaz.

   

7. Zkontrolujte výsledky.

Poznámka:

Pokud vaše řídicí panely nebo automatizace aktuálně spoléhají na rozhraní API nebo dotazy dílčího hodnocení, naplánujte migraci na ekvivalentní API pro hodnocení nebo na rozhraní securityFindings pro jednotlivé formáty doporučení. Během souběžného období se mohou zobrazit duplicitní data (starší seskupená data + nová jednotlivá data). Pomocí značek uživatelského rozhraní preview nebo nových verzí nebo filtrů rozhraní API se můžete zaměřit na jeden formát a vyhnout se dvojitému počítání. Vstupní bod otevřeného dotazu vám může pomoct vygenerovat aktualizované dotazy z portálu.

Související obsah

• Přechod od seskupených k individuálním doporučením
• Řešení doporučení pro zabezpečení