Kontrola doporučení zabezpečení

V Programu Microsoft Defender pro cloud se prostředky a úlohy posuzují na základě předdefinovaných a vlastních standardů zabezpečení povolených v předplatných Azure, účtech AWS a projektech GCP. Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky k nápravě problémů se zabezpečením a zlepšení stavu zabezpečení.

Defender for Cloud proaktivně využívá dynamický modul, který vyhodnocuje rizika ve vašem prostředí a bere v úvahu potenciál zneužití a potenciální obchodní dopad na vaši organizaci. Modul upřednostňuje doporučení zabezpečení na základě rizikových faktorů jednotlivých prostředků, které jsou určeny kontextem prostředí, včetně konfigurace prostředku, síťových připojení a stavu zabezpečení.

Požadavky

• Ve svém prostředí musíte povolit csPM v programu Defender.

Poznámka:

Doporučení jsou ve výchozím nastavení zahrnutá v programu Defender for Cloud, ale ve vašem prostředí neuvidíte stanovení priority rizik bez povoleného nástroje CSPM v programu Defender.

Kontrola podrobností o doporučení

Než se pokusíte porozumět procesu potřebnému k vyřešení doporučení, je důležité si projít všechny podrobnosti související s doporučením. Před vyřešením doporučení doporučujeme zajistit správnost všech podrobností doporučení.

Kontrola podrobností o doporučení:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Cloud>Recommendations.

3. Vyberte doporučení.

4. Na stránce doporučení si projděte podrobnosti:

   • Úroveň rizika – zneužitelnost a obchodní dopad základního problému zabezpečení s ohledem na kontext zdrojů životního prostředí, jako je například vystavení internetu, citlivá data, laterální pohyb a další.
   • Rizikové faktory – environmentální faktory prostředku ovlivněného doporučením, které ovlivňují zneužitelnost a obchodní dopad základního problému zabezpečení. Mezi příklady rizikových faktorů patří ohrožení internetu, citlivá data, potenciál laterálního pohybu.
   • Prostředek – název ovlivněného prostředku.
   • Stav – stav doporučení. Například nepřiřazeno, včas, po termínu.
   • Popis – stručný popis problému se zabezpečením.
   • Cesty útoku – počet cest útoku.
   • Rozsah – ovlivněné předplatné nebo prostředek
   • Aktuálnost – interval aktuálnosti doporučení.
   • Datum poslední změny – datum poslední změny tohoto doporučení
   • Vlastník – osoba přiřazená k tomuto doporučení.
   • Termín splnění – Přiřazené datum, kterým musí být doporučení vyřešeno.
   • Taktiky a techniky – taktiky a techniky mapované na MITRE ATT&CK.

Prozkoumání doporučení

K interakci s doporučeními můžete provádět mnoho akcí. Pokud není dostupná možnost, není pro doporučení relevantní.

Prozkoumání doporučení:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Cloud>Recommendations.

3. Vyberte doporučení.

4. V doporučení můžete provést následující akce:

   • Výběrem možnosti Otevřít dotaz zobrazíte podrobné informace o ovlivněných prostředcích pomocí dotazu Azure Resource Graph Exploreru.

   • Výběrem možnosti Zobrazit definici zásad zobrazíte položku Azure Policy pro podkladové doporučení (pokud je to relevantní).

5. V akci:

   • Náprava: Popis ručních kroků potřebných k nápravě problému se zabezpečením u ovlivněných prostředků. U doporučení s možností Opravit můžete před použitím navrhované opravy u prostředků vybrat logiku zobrazit nápravu.

   • Přiřadit vlastníka a termín splnění: Pokud máte pro doporučení zapnuté pravidlo zásad správného řízení, můžete přiřadit vlastníka a termín splnění.

   • Výjimka: Prostředky můžete z doporučení vyloučit nebo zakázat konkrétní zjištění pomocí pravidel zákazu.

   • Automatizace pracovního postupu: Nastavte aplikaci logiky, která se má s tímto doporučením aktivovat.

   

6. V nástroji Findings můžete zkontrolovat přidružená zjištění podle závažnosti.

   

7. V Graphu můžete zobrazit a prozkoumat veškerý kontext, který se používá pro stanovení priority rizik, včetně cest útoku. Pokud chcete zobrazit podrobnosti vybraného uzlu, můžete vybrat uzel v cestě útoku.

   

8. Výběrem uzlu zobrazíte další podrobnosti.

   

9. Vyberte Přehledy.

10. V rozevírací nabídce ohrožení zabezpečení vyberte ohrožení zabezpečení, abyste zobrazili podrobnosti.

    

11. (Volitelné) Výběrem možnosti Otevřít stránku ohrožení zabezpečení zobrazte přidruženou stránku doporučení.

12. Opravte doporučení.

Seskupení doporučení podle názvu

Stránka doporučení Defenderu pro cloud umožňuje seskupit doporučení podle názvu. Tato funkce je užitečná, když chcete napravit doporučení, které má vliv na více prostředků způsobených konkrétním problémem se zabezpečením.

Seskupení doporučení podle názvu:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Cloud>Recommendations.

3. Vyberte Seskupovat podle názvu.

   

Správa doporučení přiřazených vám

Defender for Cloud podporuje pravidla zásad správného řízení pro doporučení, která určují vlastníka doporučení nebo termín splnění pro akci. Pravidla zásad správného řízení pomáhají zajistit odpovědnost a smlouvu SLA pro doporučení.

• Doporučení jsou uvedená včas, dokud se nepředá termín splnění, když se změní na Po splatnosti.
• Před překročením doporučení doporučení nemá doporučení vliv na skóre zabezpečení.
• Můžete také použít období odkladu, během kterého doporučení po uplynutí lhůty nebudou mít vliv na skóre zabezpečení.

Přečtěte si další informace o konfiguraci pravidel zásad správného řízení.

Správa doporučení přiřazených vám:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Cloud>Recommendations.

3. Vyberte Přidat vlastníka filtru>.

4. Vyberte položku uživatele.

5. Vyberte Použít.

6. Ve výsledcích doporučení zkontrolujte doporučení, včetně ovlivněných prostředků, rizikových faktorů, cest útoku, termínů splnění a stavu.

7. Vyberte doporučení, abyste ho mohli dále zkontrolovat.

8. V části Provést akci>Změnit vlastníka a termín splnění vyberte Upravit přiřazení a v případě potřeby změňte vlastníka doporučení a termín splnění.

   • Ve výchozím nastavení dostane vlastník prostředku týdenní e-mail se seznamem doporučení přiřazených k nim.
   • Pokud vyberete nové datum nápravy, v odůvodnění zadejte důvody nápravy do tohoto data.
   • V nastavení e-mailových oznámení můžete:
     • Přepište výchozí týdenní e-mail vlastníkovi.
     • Upozorněte vlastníky týdně se seznamem otevřených nebo pohlcených úkolů.
     • Upozorněte přímého nadřízený vlastníka pomocí otevřeného seznamu úkolů.

9. Zvolte Uložit.

Poznámka:

Změna očekávaného data dokončení nezmění termín splnění doporučení, ale partneři zabezpečení uvidí, že plánujete aktualizovat prostředky podle zadaného data.

Kontrola doporučení v Azure Resource Graphu

Pomocí Azure Resource Graphumůžete napsat dotazovací jazyk Kusto (KQL) k dotazování na data stavu zabezpečení cloudu v programu Defender pro více předplatných. Azure Resource Graph nabízí efektivní způsob, jak dotazovat v cloudových prostředích zobrazením, filtrováním, seskupováním a řazením dat.

Kontrola doporučení v Azure Resource Graphu:

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Defender for Cloud>Recommendations.

3. Vyberte doporučení.

4. Vyberte Otevřít dotaz.

5. Dotaz můžete otevřít jedním ze dvou způsobů:

   • Dotaz vracející ovlivněný prostředek – vrátí seznam všech prostředků ovlivněných tímto doporučením.
   • Dotaz vracející zjištění zabezpečení – vrátí seznam všech problémů se zabezpečením nalezených doporučením.

6. Vyberte spustit dotaz.

   

7. Zkontrolujte výsledky.

Příklad

V tomto příkladu se na této stránce s podrobnostmi o doporučení zobrazuje 15 ovlivněných prostředků:

Když otevřete podkladový dotaz a spustíte ho, Azure Resource Graph Explorer vrátí stejné ovlivněné prostředky pro toto doporučení.

Další krok

Náprava doporučení zabezpečení