Školení
Certifikace
Microsoft ověřený: Odborník pro analýzu bezpečnostních operací (Associate) - Certifications
Zkoumání, hledání a zmírnění hrozeb pomocí Microsoft Sentinelu, Microsoft Defenderu pro cloud a Microsoft 365 Defenderu
Tento prohlížeč se už nepodporuje.
Upgradujte na Microsoft Edge, abyste mohli využívat nejnovější funkce, aktualizace zabezpečení a technickou podporu.
V Programu Microsoft Defender pro cloud se prostředky a úlohy posuzují na základě předdefinovaných a vlastních standardů zabezpečení povolených v předplatných Azure, účtech AWS a projektech GCP. Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky k nápravě problémů se zabezpečením a zlepšení stavu zabezpečení.
Defender for Cloud proaktivně využívá dynamický modul, který vyhodnocuje rizika ve vašem prostředí a bere v úvahu potenciál zneužití a potenciální obchodní dopad na vaši organizaci. Modul upřednostňuje doporučení zabezpečení na základě rizikových faktorů jednotlivých prostředků, které jsou určeny kontextem prostředí, včetně konfigurace prostředku, síťových připojení a stavu zabezpečení.
Poznámka
Doporučení jsou ve výchozím nastavení zahrnutá v programu Defender for Cloud, ale ve vašem prostředí neuvidíte stanovení priority rizik bez povoleného nástroje CSPM v programu Defender.
Než se pokusíte porozumět procesu potřebnému k vyřešení doporučení, je důležité si projít všechny podrobnosti související s doporučením. Před vyřešením doporučení doporučujeme zajistit správnost všech podrobností doporučení.
Kontrola podrobností o doporučení:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
Na stránce doporučení si projděte podrobnosti:
K interakci s doporučeními můžete provádět mnoho akcí. Pokud není dostupná možnost, není pro doporučení relevantní.
Prozkoumání doporučení:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
V doporučení můžete provést následující akce:
Výběrem možnosti Otevřít dotaz zobrazíte podrobné informace o ovlivněných prostředcích pomocí dotazu Azure Resource Graph Exploreru.
Výběrem možnosti Zobrazit definici zásad zobrazíte položku Azure Policy pro podkladové doporučení (pokud je to relevantní).
V akci:
Náprava: Popis ručních kroků potřebných k nápravě problému se zabezpečením u ovlivněných prostředků. U doporučení s možností Opravit můžete před použitím navrhované opravy u prostředků vybrat logiku zobrazit nápravu.
Přiřadit vlastníka a termín splnění: Pokud máte pro doporučení zapnuté pravidlo zásad správného řízení, můžete přiřadit vlastníka a termín splnění.
Výjimka: Prostředky můžete z doporučení vyloučit nebo zakázat konkrétní zjištění pomocí pravidel zákazu.
Automatizace pracovního postupu: Nastavte aplikaci logiky, která se má s tímto doporučením aktivovat.
V nástroji Findings můžete zkontrolovat přidružená zjištění podle závažnosti.
V Graphu můžete zobrazit a prozkoumat veškerý kontext, který se používá pro stanovení priority rizik, včetně cest útoku. Pokud chcete zobrazit podrobnosti vybraného uzlu, můžete vybrat uzel v cestě útoku.
Výběrem uzlu zobrazíte další podrobnosti.
Vyberte Přehledy.
V rozevírací nabídce ohrožení zabezpečení vyberte ohrožení zabezpečení, abyste zobrazili podrobnosti.
(Volitelné) Výběrem možnosti Otevřít stránku ohrožení zabezpečení zobrazte přidruženou stránku doporučení.
Stránka doporučení Defenderu pro cloud umožňuje seskupit doporučení podle názvu. Tato funkce je užitečná, když chcete napravit doporučení, které má vliv na více prostředků způsobených konkrétním problémem se zabezpečením.
Seskupení doporučení podle názvu:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte Seskupovat podle názvu.
Defender for Cloud podporuje pravidla zásad správného řízení pro doporučení, která určují vlastníka doporučení nebo termín splnění pro akci. Pravidla zásad správného řízení pomáhají zajistit odpovědnost a smlouvu SLA pro doporučení.
Přečtěte si další informace o konfiguraci pravidel zásad správného řízení.
Správa doporučení přiřazených vám:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte Přidat vlastníka filtru>.
Vyberte položku uživatele.
Vyberte Použít.
Ve výsledcích doporučení zkontrolujte doporučení, včetně ovlivněných prostředků, rizikových faktorů, cest útoku, termínů splnění a stavu.
Vyberte doporučení, abyste ho mohli dále zkontrolovat.
V části Provést akci>Změnit vlastníka a termín splnění vyberte Upravit přiřazení a v případě potřeby změňte vlastníka doporučení a termín splnění.
Zvolte Uložit.
Poznámka
Změna očekávaného data dokončení nezmění termín splnění doporučení, ale partneři zabezpečení uvidí, že plánujete aktualizovat prostředky podle zadaného data.
Pomocí Azure Resource Graphu můžete napsat dotazovací jazyk Kusto (KQL) k dotazování na data stavu zabezpečení cloudu v programu Defender pro více předplatných. Azure Resource Graph nabízí efektivní způsob, jak dotazovat v cloudových prostředích zobrazením, filtrováním, seskupováním a řazením dat.
Kontrola doporučení v Azure Resource Graphu:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
Vyberte Otevřít dotaz.
Dotaz můžete otevřít jedním ze dvou způsobů:
Vyberte spustit dotaz.
Zkontrolujte výsledky.
Každé doporučení zabezpečení z Defenderu pro cloud má přiřazené jedno ze tří hodnocení závažnosti:
Vysoká závažnost: Tato doporučení by se měla okamžitě vyřešit, protože značí kritickou chybu zabezpečení, kterou by mohl útočník zneužít k získání neoprávněného přístupu k vašim systémům nebo datům. Mezi příklady doporučení s vysokou závažností patří zjištění nechráněných tajných kódů na počítači, příliš omezující příchozí pravidla NSG, clustery umožňující nasazení imagí z nedůvěryhodných registrů a neomezený veřejný přístup k účtům úložiště nebo databázím.
Střední závažnost: Tato doporučení označují potenciální bezpečnostní riziko, které by se mělo řešit včas, ale nemusí vyžadovat okamžitou pozornost. Příkladem doporučení střední závažnosti můžou být kontejnery, které sdílejí citlivé obory názvů hostitele, webové aplikace nepoužívají spravované identity, počítače s Linuxem nevyžadují klíče SSH během ověřování a nepoužívané přihlašovací údaje zůstanou v systému po 90 dnech nečinnosti.
Nízká závažnost: Tato doporučení značí relativně malý problém se zabezpečením, který je možné vyřešit při usnadnění. Mezi příklady doporučení s nízkou závažností může patřit potřeba zakázat místní ověřování ve prospěch Microsoft Entra ID, problémy se stavem vašeho řešení ochrany koncových bodů, osvědčené postupy, které se nedodržují skupin zabezpečení sítě nebo nesprávně nakonfigurovaná nastavení protokolování, která by mohla znesnadnit detekci bezpečnostních incidentů a reagovat na ně.
Interní zobrazení organizace se samozřejmě můžou lišit podle klasifikace konkrétního doporučení od Microsoftu. Proto je vždy vhodné pečlivě zkontrolovat každé doporučení a zvážit jeho potenciální dopad na stav zabezpečení, než se rozhodnete, jak ho řešit.
Poznámka
Zákazníci CSPM defenderu mají přístup k bohatšímu klasifikačnímu systému, kde se doporučení zobrazují dynamičtější úroveň rizika, která využívá kontext prostředku a všech souvisejících prostředků. Přečtěte si další informace o stanovení priorit rizik.
V tomto příkladu se na této stránce s podrobnostmi o doporučení zobrazuje 15 ovlivněných prostředků:
Když otevřete podkladový dotaz a spustíte ho, Azure Resource Graph Explorer vrátí stejné ovlivněné prostředky pro toto doporučení.
Školení
Certifikace
Microsoft ověřený: Odborník pro analýzu bezpečnostních operací (Associate) - Certifications
Zkoumání, hledání a zmírnění hrozeb pomocí Microsoft Sentinelu, Microsoft Defenderu pro cloud a Microsoft 365 Defenderu