Kontrola doporučení zabezpečení

V programu Microsoft Defender pro cloud se prostředky a úlohy posuzují na základě předdefinovaných a vlastních standardů zabezpečení, které se použijí ve vašich předplatných Azure, účtech Amazon Web Services (AWS) a projektech GCP (Google Cloud Platform). Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky k nápravě problémů se zabezpečením a zlepšení stavu zabezpečení.

Defender for Cloud proaktivně používá dynamický modul, který vyhodnocuje rizika ve vašem prostředí, zatímco bere v úvahu potenciál zneužití a potenciální obchodní účinek ve vaší organizaci. Modul upřednostňuje doporučení zabezpečení na základě rizikových faktorů jednotlivých prostředků. Kontext prostředí určuje tyto rizikové faktory. Tento kontext zahrnuje konfiguraci, síťová připojení a stav zabezpečení prostředku.

Požadavky

• Ve svém prostředí musíte povolit správu stavu zabezpečení cloudu v programu Defender (DEFENDER CSPM ).

  Poznámka:

  Ve výchozím nastavení jsou doporučení zahrnutá v programu Defender for Cloud, ale pokud ve svém prostředí nepovolíte funkci CSPM defenderu, neuvidíte stanovení priority rizik .

Kontrola stránky s doporučeními

Než je vyřešíte, zkontrolujte doporučení a ujistěte se, že jsou všechny podrobnosti správné.

1. Přihlaste se do Azure Portalu.

2. Přejděte do programu Defender for Cloud>doporučení.

3. Vyberte doporučení.

4. Na stránce doporučení si projděte následující podrobnosti:

   • Úroveň rizika: Ohrožení zabezpečení a obchodní dopad souvisejícího problému se zabezpečením vzhledem k kontextu prostředků životního prostředí, jako je vystavení internetu, citlivá data, laterální pohyb a další.
   • Rizikové faktory: Faktory prostředí zdroje ovlivněného doporučením, které ovlivňují zranitelnost a obchodní dopad základního problému zabezpečení. Mezi rizikové faktory patří riziko vystavení internetu, citlivá data a potenciál laterálního pohybu.
   • Prostředek: Název ovlivněného prostředku.
   • Stav: Stav doporučení, například nepřiřazený, včas nebo po termínu.
   • Popis: Stručný popis problému se zabezpečením.
   • Cesty útoku: Počet cest útoku.
   • Rozsah: Ovlivněné předplatné nebo prostředek.
   • Aktuálnost: Interval aktuálnosti doporučení.
   • Datum poslední změny: Datum poslední změny tohoto doporučení.
   • Závažnost: Závažnost doporučení: Vysoká, Střední nebo Nízká. Další podrobnosti najdete dále v tomto článku.
   • Vlastník: Osoba přiřazená k doporučení.
   • Termín splnění: Přiřazený termín splnění pro vyřešení doporučení.
   • Taktika a techniky: Taktika a techniky mapované na MITRE ATT&CK.

Prozkoumejte doporučení

S doporučeními můžete pracovat několika způsoby. Pokud není dostupná možnost, znamená to, že není pro doporučení relevantní.

1. Přihlaste se do Azure Portalu.

2. Přejděte do programu Defender for Cloud>doporučení.

3. Vyberte doporučení.

4. Doporučení umožňuje provádět tyto akce:

   • Pokud chcete zobrazit podrobné informace o ovlivněných prostředcích pomocí dotazu Azure Resource Graph Exploreru, vyberte Otevřít dotaz.
   • Pokud chcete zobrazit položku Azure Policy pro podkladové doporučení (pokud je relevantní), vyberte Zobrazit definici zásady.
   • Pokud chcete zobrazit všechny prostředky, na které se doporučení vztahuje, vyberte Zobrazit doporučení pro všechny prostředky.

5. V Podniknout akci:

   • Náprava: Popis ručních kroků potřebných k vyřešení problému se zabezpečením ovlivněných prostředků. U doporučení s možností Opravit můžete před použitím navrhované opravy u vašich prostředků vybrat zobrazit logiku nápravy.
   • Vlastník doporučení a nastavení termínu splnění: Pokud pro doporučení povolíte pravidlo zásad správného řízení , můžete přiřadit vlastníka a termín splnění.
   • Výjimka: Prostředky můžete vyloučit z doporučení nebo zakázat konkrétní zjištění pomocí pravidel zákazu.
   • Automatizace pracovního postupu: Nastavte aplikaci logiky, která se má aktivovat s doporučením.

   

6. V nástroji Findings můžete zkontrolovat přidružená zjištění podle závažnosti.

   

7. V Graphu můžete zobrazit a prozkoumat veškerý kontext, který se používá pro stanovení priorit rizik, včetně cest útoku. Pokud chcete zobrazit podrobnosti vybraného uzlu, můžete vybrat uzel v cestě útoku.

   

8. Pokud chcete zobrazit další podrobnosti, vyberte uzel.

   

9. Vyberte Insights.

10. Pokud chcete zobrazit podrobnosti, vyberte v rozevírací nabídce ohrožení zabezpečení.

    

11. (Volitelné) Pokud chcete zobrazit přidruženou stránku doporučení, vyberte Otevřít stránku ohrožení zabezpečení.

12. Opravte doporučení.

Seskupení doporučení podle názvu

Doporučení můžete seskupit podle názvu pomocí stránky doporučení Defenderu pro cloud. Tato funkce je užitečná, když chcete napravit doporučení, které má vliv na více prostředků kvůli konkrétnímu problému se zabezpečením.

1. Přihlaste se do Azure Portalu.

2. Přejděte do programu Defender for Cloud>doporučení.

3. Vyberte Seskupovat podle názvu.

   

Správa přiřazených doporučení

Defender for Cloud podporuje pravidla zásad správného řízení pro doporučení. Můžete přiřadit vlastníka doporučení nebo termín splnění. Odpovědnost můžete zajistit pomocí pravidel zásad správného řízení, která také podporují smlouvu o úrovni služeb (SLA) pro doporučení.

• Doporučení se zobrazují jako Načas, dokud neprojde jejich termín splnění. Pak se změní na Overdue.
• Pokud doporučení není klasifikováno jako zpožděné, nemá to vliv na vaše Microsoft Secure Score.
• Můžete také použít období odkladu, aby nepřehlácená doporučení neměla vliv na vaše bezpečnostní skóre.

Přečtěte si další informace o konfiguraci pravidel zásad správného řízení.

Zobrazení všech přiřazených doporučení:

1. Přihlaste se do Azure Portalu.

2. Přejděte do programu Defender for Cloud>doporučení.

3. Vyberte Přidat vlastníka filtru>.

4. Vyberte položku uživatele.

5. Vyberte a použijte.

6. Ve výsledcích doporučení přezkoumejte doporučení, včetně zasažených zdrojů, rizikových faktorů, možných cest útoků, stanovených termínů a aktuálního stavu.

7. Vyberte doporučení, abyste ho mohli dále zkontrolovat.

Pokud chcete provést změny přiřazení, proveďte následující kroky:

1. Přejděte k Podniknout akci>Změnit vlastníka a lhůtu splnění.

2. Výběrem Upravit zadání můžete změnit vlastníka doporučení nebo termín splnění.

3. Pokud vyberete nové datum nápravy, zadejte, proč má být náprava dokončena do tohoto data v odůvodnění.   

4. Vyberte Uložit.

   Poznámka:

   Když změníte očekávané datum dokončení, termín splnění doporučení se nezmění, ale partneři zabezpečení uvidí, že plánujete aktualizovat prostředky podle zadaného data.

Ve výchozím nastavení obdrží vlastník prostředku týdenní e-mail, který zobrazuje všechna doporučení přiřazená jim.

Pomocí možnosti Nastavit e-mailová oznámení můžete také:

• Přepište výchozí týdenní e-mail vlastníkovi.
• Upozorněte vlastníky každý týden na seznam otevřených nebo nadlimitních úkolů.
• Upozorněte přímého nadřízený vlastníka pomocí otevřeného seznamu úkolů.

Kontrola doporučení v Azure Resource Graphu

Pomocí Azure Resource Graphu můžete napsat dotaz KQL (Kusto Query Language) pro dotazování Defenderu pro stav zabezpečení cloudu napříč několika předplatnými. Azure Resource Graph nabízí efektivní způsob, jak dotazovat v cloudových prostředích zobrazením, filtrováním, seskupováním a řazením dat.

1. Přihlaste se do Azure Portalu.

2. Přejděte do programu Defender for Cloud>doporučení.

3. Vyberte doporučení.

4. Vyberte Otevřít dotaz.

5. Dotaz můžete otevřít jedním ze dvou způsobů:

   • Dotaz vracející ovlivněný prostředek: Vrátí seznam všech prostředků, které doporučení ovlivňuje.
   • Dotaz vracející zjištění zabezpečení: Vrátí seznam všech problémů se zabezpečením, které doporučení našlo.

6. Vyberte spustit dotaz.

   

7. Zkontrolujte výsledky.

Jak jsou doporučení klasifikovaná?

Každé doporučení zabezpečení z Defenderu pro cloud má jedno ze tří hodnocení závažnosti.

Vysoká závažnost

Doporučujeme, abyste tato doporučení okamžitě vyřešili. Indikují, že existuje kritická ohrožení zabezpečení, které by útočník mohl zneužít k získání neoprávněného přístupu k vašim systémům nebo datům.

Mezi příklady doporučení s vysokou závažností patří:

• Nechráněné tajné kódy na počítači
• Příliš povolená pravidla příchozí skupiny zabezpečení sítě.
• Clustery, které umožňují nasazení imagí z nedůvěryhodných registrů
• Neomezený veřejný přístup k účtům úložiště nebo databázím

Střední závažnost

Tato doporučení označují potenciální bezpečnostní riziko. Doporučujeme, abyste tato doporučení řešili včas, ale nemusí vyžadovat okamžitou pozornost.

Mezi příklady doporučení střední závažnosti patří:

• Kontejnery, které sdílejí citlivé obory názvů hostitele.
• Webové aplikace, které nepoužívají spravované identity.
• Počítače s Linuxem, které během ověřování nevyžadují klíče SSH.
• Nepoužité přihlašovací údaje zůstaly v systému po 90 dnech nečinnosti.

Nízká závažnost

Tato doporučení značí relativně malý problém se zabezpečením, který je možné vyřešit ve vaší pohodlí.

Mezi příklady doporučení s nízkou závažností patří:

• Použití místního ověřování místo ID Microsoft Entra.
• Problémy se stavem vašeho řešení ochrany koncových bodů
• Uživatelé, kteří nepoužívají osvědčené postupy se skupinami zabezpečení sítě.
• Chybně nakonfigurovaná nastavení protokolování, která můžou znesnadnit detekci a reakci na incidenty zabezpečení.

Interní zásady organizace se můžou lišit od klasifikace konkrétního doporučení od Microsoftu. Doporučujeme vždy pečlivě zkontrolovat každé doporučení a zvážit jeho potenciální vliv na stav zabezpečení, než se rozhodnete, jak ho vyřešit.

Poznámka:

Zákazníci CSPM defenderu mají přístup k bohatšímu klasifikačnímu systému, kde doporučení obsahují stanovení úrovně rizika , které využívá kontext prostředku a všech souvisejících prostředků. Přečtěte si další informace o stanovení priorit rizik.

Příklad

V tomto příkladu se na stránce s podrobnostmi o doporučení zobrazuje 15 ovlivněných prostředků:

Když otevřete a spustíte podkladový dotaz, Azure Resource Graph Explorer vrátí stejné ovlivněné prostředky pro toto doporučení.

Související obsah

• Řešení doporučení pro zabezpečení