Identifikace a náprava cest útoku

Defender for Cloud používá algoritmus proprietary k vyhledání potenciálních cest útoku specifických pro vaše vícecloudové prostředí. Defender for Cloud se zaměřuje na skutečné, externě řízené a zneužitelné hrozby, nikoli na široké scénáře. Algoritmus detekuje cesty útoku, které začínají mimo vaši organizaci, a postupuje k důležitým obchodním cílům, což vám pomůže projít šumem a pracovat rychleji.

Analýzu cest útoku můžete použít k řešení problémů se zabezpečením, které představují okamžité hrozby a mají největší potenciál pro zneužití ve vašem prostředí. Defender for Cloud analyzuje, které problémy se zabezpečením jsou součástí externě vystavených cest útoku, které by útočníci mohli použít k narušení vašeho prostředí. Upozorňuje také na doporučení zabezpečení, která potřebujete vyřešit, aby se tyto problémy zmírňovaly.

Ve výchozím nastavení jsou cesty útoku uspořádány podle úrovně rizika. Úroveň rizika je určena modulem stanovení priority rizik pracujícím s kontextem, který bere v úvahu rizikové faktory jednotlivých prostředků. Přečtěte si další informace o tom, jak Defender for Cloud prioritizuje doporučení zabezpečení.

Požadavky

Poznámka:

Může se zobrazit prázdná stránka Cesta útoku, protože cesty útoku se teď zaměřují na skutečné, externě řízené a zneužitelné hrozby, nikoli na široké scénáře. To pomáhá snížit šum a stanovit prioritu bezprostředních rizik.

Zobrazení cest útoku souvisejících s kontejnery:

  • V Defender CSPM musíte povolit rozšíření stavu kontejneru bez agentů.

  • Můžete enable Defender for Containers a nainstalovat relevantní agenty, abyste mohli zobrazit cesty útoku, které souvisejí s kontejnery. To vám také umožňuje dotazovat se na úlohy roviny dat kontejnerů v nástroji Průzkumník zabezpečení.

  • Požadované role a oprávnění: Čtenář zabezpečení, Správce zabezpečení, Čtenář, Přispěvatel nebo Vlastník.

Identifikace cest útoku

Pomocí analýzy cesty útoku můžete najít největší rizika pro vaše prostředí a napravit je.

Na stránce cesty útoku se zobrazí přehled všech cest útoku. Uvidíte také ovlivněné prostředky a seznam aktivních cest útoku.

Snímek obrazovky s domovskou stránkou ukázkové cesty útoku

Identifikujte cesty útoku na portálu Azure:

  1. Přihlaste se k portálu Azure.

  2. Přejděte na Microsoft Defender for Cloud>Attack path analysis.

    Snímek obrazovky znázorňující stránku analýzy cesty útoku na hlavní obrazovce

  3. Vyberte cestu útoku.

  4. Vyberte uzel.

    Snímek obrazovky s cestou útoku, která ukazuje, kde jsou uzly umístěné pro výběr

    Poznámka:

    Pokud máte omezená oprávnění ( zejména napříč předplatnými), nemusí se zobrazit podrobnosti o cestě k úplnému útoku. Toto chování je navržené tak, aby chránilo citlivá data. Pokud chcete zobrazit všechny podrobnosti, ujistěte se, že máte potřebná oprávnění.

  5. Výběrem možnosti Přehled zobrazíte přidružené přehledy pro daný uzel.

    Snímek obrazovky s kartou Insights pro konkrétní uzel

  6. Vyberte Doporučení.

    Snímek obrazovky, který ukazuje, kde vybrat doporučení na obrazovce

  7. Vyberte doporučení.

  8. Opravte doporučení.

Identifikujte cesty útoku na portálu Defender:

  1. Přihlaste se k portálu Microsoft Defender.

  2. Přejděte na Řízení expozice>povrch útoku>cesty útoku. Zobrazí se přehled cest útoku.

    Zážitky z útokových cest nabízejí několik zobrazení:

    • Karta Přehled: Zobrazení cest útoku v průběhu času, prvních 5 uzlových bodů, 5 nejlepších scénářů útokových cest, hlavní cíle a hlavní vstupní body
    • Seznam cest útoku: Dynamické, filtrovatelné zobrazení všech cest útoku s pokročilými možnostmi filtrování
    • Úzká místa: Seznam uzlů, kde se sbíhají několik cest útoku, označených jako vysoce riziková úzká místa

    Snímek obrazovky ukazující přehled cesty útoku v portálu Defender.

    Poznámka:

    Na portálu Defender je analýza cesty útoku součástí širších možností správy expozice, která poskytuje vylepšenou integraci s dalšími řešeními zabezpečení Microsoft a jednotnou korelací incidentů.

  3. Vyberte kartu Cesty útoku .

    Screenshot, která zobrazuje stránku cesty útoku na webu Defender portal.

  4. Pomocí rozšířeného filtrování v seznamu Cest útoku se můžete zaměřit na konkrétní cesty útoku:

    • Úroveň rizika: Filtrování podle cest útoku s vysokým, středním nebo nízkým rizikem
    • Typ prostředku: Zaměření na konkrétní typy prostředků
    • Stav nápravy: Zobrazení vyřešených, probíhajících nebo čekajících cest útoku
    • Časový rámec: Filtrování podle konkrétních časových období (např. posledních 30 dnů)

  5. Výběrem cesty útoku zobrazíte mapu cesty útoku, zvýrazněné zobrazení založené na grafu:

    • Ohrožené uzly: Prostředky s problémy se zabezpečením
    • Vstupní body: Externí přístupové body, kde by mohly začít útoky
    • Cílové prostředky: Kritické prostředky, na které se útočníci snaží dosáhnout
    • Uzlové body: Body konvergence, kde se protíná více cest útoku

  6. Vyberte uzel a prozkoumejte podrobné informace:

    Screenshot obrazovky s cestou útoku na portálu Defender zobrazující výběr uzlu.

    Poznámka:

    Pokud máte omezená oprávnění ( zejména napříč předplatnými), nemusí se zobrazit podrobnosti o cestě k úplnému útoku. Toto chování je navržené tak, aby chránilo citlivá data. Pokud chcete zobrazit všechny podrobnosti, ujistěte se, že máte potřebná oprávnění.

  7. Zkontrolujte podrobnosti o uzlu, mezi které patří:

    • Taktika a techniky MITRE ATT&CK: Pochopení metodologie útoku
    • Rizikové faktory: Environmentální faktory přispívající k riziku
    • Přidružená doporučení: Vylepšení zabezpečení pro zmírnění problému

  8. Výběrem možnosti Přehled zobrazíte přidružené přehledy pro daný uzel.

  9. Výběrem doporučení zobrazíte užitečné pokyny ke sledování stavu nápravy.

    Screenshot, který ukazuje, kde vybrat doporučení na portálu Defender portal.

  10. Vyberte doporučení.

  11. Opravte doporučení.

    Jakmile dokončíte šetření cesty útoku a zkontrolujete všechna související zjištění a doporučení, můžete začít opravovat cestu útoku.

  12. Opravte doporučení.

Po vyřešení cesty útoku může trvat až 24 hodin, než se cesta útoku ze seznamu odebere.

Náprava cest útoku

Jakmile dokončíte šetření cesty útoku a zkontrolujete všechna související zjištění a doporučení, můžete začít opravovat cestu útoku.

Náprava cesty útoku na portálu Azure:

  1. Přejděte na Microsoft Defender for Cloud>Attack path analysis.

  2. Vyberte cestu útoku.

  3. Vyberte Náprava.

    Snímek obrazovky s cestou útoku, která ukazuje, kde vybrat nápravu

  4. Vyberte doporučení.

  5. Opravte doporučení.

Po vyřešení cesty útoku může trvat až 24 hodin, než se cesta útoku ze seznamu odebere.

Náprava všech doporučení v rámci cesty útoku

Analýza cesty útoku vám umožňuje zobrazit všechna doporučení podle cesty útoku, aniž byste museli kontrolovat jednotlivé uzly. Všechna doporučení můžete vyřešit, aniž byste museli zobrazit jednotlivé uzly jednotlivě.

Cesta nápravy obsahuje dva typy doporučení:

  • Doporučení – doporučení, která zmírňují cestu útoku
  • Další doporučení – doporučení, která snižují rizika zneužití, ale nezmírňují cestu útoku.

Vyřešte všechna doporučení v portálu Azure:

  1. Přihlaste se k portálu Azure.

  2. Přejděte na Microsoft Defender for Cloud>Attack path analysis.

  3. Vyberte cestu útoku.

  4. Vyberte Náprava.

    Snímek obrazovky ukazuje, kam na obrazovce kliknout, abyste viděli celý seznam doporučení pro cesty útoků.

  5. Zobrazte další doporučení.

  6. Vyberte doporučení.

  7. Opravte doporučení.

Po vyřešení cesty útoku může trvat až 24 hodin, než se cesta útoku ze seznamu odebere.

Vyřešte všechna doporučení v portálu Defender:

  1. Přihlaste se k portálu Microsoft Defender.

  2. Přejděte na Řízení expozice>analýzu cesty útoku.

  3. Vyberte cestu útoku.

  4. Vyberte Náprava.

    Poznámka:

    Portál Defender poskytuje rozšířené sledování průběhu nápravy a může korelovat nápravné aktivity s širšími operacemi zabezpečení a pracovními postupy správy incidentů.

  5. Zobrazte další doporučení.

  6. Vyberte doporučení.

  7. Opravte doporučení.

Po vyřešení cesty útoku může trvat až 24 hodin, než se cesta útoku ze seznamu odebere.

Vylepšené možnosti správy expozice

Portál Defender poskytuje další možnosti analýzy cest útoku prostřednictvím integrované architektury Pro správu expozice:

  • Unified incident correlation: Cesty útoku se automaticky korelují s incidenty zabezpečení v ekosystému zabezpečení Microsoft.
  • Součinové přehledy: Data o cestě útoku jsou integrovaná se zjištěními z Microsoft Defender for Endpoint, Microsoft Sentinel a dalších řešení zabezpečení Microsoft.
  • Pokročilá analýza hrozeb: Vylepšený kontext z informačních kanálů Microsoftu pro analýzu hrozeb, abychom lépe porozuměli vzorům útoků a chování útočníků.
  • Integrované pracovní postupy nápravy: Zjednodušené procesy nápravy, které můžou aktivovat automatizované odpovědi napříč několika nástroji zabezpečení.
  • Zprávy pro vedení: Vylepšené možnosti vytváření sestav pro vedení zabezpečení s posouzením dopadů na obchodní činnost.

Tyto funkce poskytují komplexnější pohled na stav zabezpečení a umožňují efektivnější reakci na potenciální hrozby zjištěné prostřednictvím analýzy cesty útoku.

Přečtěte si další informace o attack paths v Defender for Cloud.

Další krok

Vytvářejte dotazy pomocí Průzkumníka zabezpečení cloudu.

  • Last updated on