Sdílet prostřednictvím

Microsoft Secure Score

  • Článek

Microsoft Secure Score je měření stavu zabezpečení organizace, přičemž vyšší číslo označuje více doporučených akcí. Najdete ho v tématu Microsoft Secure Score na portálu Microsoft Defender.

Dodržování doporučení skóre zabezpečení může vaši organizaci chránit před hrozbami. Z centralizovaného řídicího panelu na portálu Microsoft Defender můžou organizace monitorovat zabezpečení svých identit, aplikací a zařízení Microsoft 365 a pracovat na tom.

Skóre zabezpečení pomáhá organizacím:

  • Uveďte aktuální stav zabezpečení organizace.
  • Vylepšete stav zabezpečení tím, že poskytnete zjistitelnost, viditelnost, pokyny a kontrolu.
  • Porovnejte s srovnávacími testy a vytvořte klíčové ukazatele výkonu (KPI).

Podívejte se na toto video, kde najdete rychlý přehled skóre zabezpečení.

Organizace získají přístup k robustním vizualizací metrik a trendů, integraci s dalšími produkty Microsoftu, porovnání skóre s podobnými organizacemi a mnoho dalšího. Skóre se může také projevit, když řešení od jiných společností než Microsoft řeší doporučené akce.

Snímek obrazovky znázorňující domovskou stránku Microsoft Secure Score na portálu Microsoft Defender

Jak to funguje…

Body získáte za následující akce:

  • Konfigurace doporučených funkcí zabezpečení
  • Provádění úkolů souvisejících se zabezpečením
  • Řešení doporučené akce pomocí aplikace nebo softwaru jiného uživatele než Microsoftu nebo alternativního zmírnění rizik

Některé doporučené akce poskytují body jenom po úplném dokončení. Některé akce mají za následek částečné body, pokud se pro některá zařízení nebo uživatele dokončí úkoly. Pokud nemůžete nebo nechcete provést některou z doporučených akcí, můžete přijmout riziko nebo zbývající riziko.

Pokud máte licenci na některý z podporovaných produktů Microsoftu, zobrazí se doporučení pro tyto produkty. Ukážeme vám úplnou sadu možných doporučení pro produkt bez ohledu na edici licence, předplatné nebo plán. Tímto způsobem můžete porozumět osvědčeným postupům zabezpečení a zlepšit skóre. Absolutní stav zabezpečení představovaný skóre zabezpečení zůstává stejný bez ohledu na to, jaké licence vaše organizace pro konkrétní produkt vlastní. Mějte na paměti, že zabezpečení by mělo být vyváženo použitelností a ne každé doporučení může pro vaše prostředí fungovat.

Vaše skóre se aktualizuje v reálném čase tak, aby odráželo informace zobrazené ve vizualizacích a na doporučených stránkách akcí. Skóre zabezpečení se také denně synchronizuje, aby za každou akci dostávalo systémová data o dosažených bodech.

Poznámka

V případě microsoft teams a Microsoft Entra souvisejících doporučení se stav doporučení aktualizuje, když dojde ke změnám ve stavu konfigurace. Stav doporučení se navíc aktualizuje jednou měsíčně nebo jednou týdně.

Klíčové scénáře

Každá doporučená akce má hodnotu 10 bodů nebo méně a většina z nich je vyhodnocena binárním způsobem. Pokud implementujete doporučenou akci, například vytvoření nové zásady nebo zapnutí konkrétního nastavení, získáte 100 % bodů. U ostatních doporučených akcí se body udělují jako procento celkové konfigurace.

Například doporučená akce uvádí, že získáte 10 bodů tím, že chráníte všechny uživatele pomocí vícefaktorového ověřování. Máte pouze 50 z celkového počtu 100 chráněných uživatelů, takže byste získali částečné skóre pěti bodů (50 chráněných / 100 celkem × 10 maximálních bodů = 5 bodů).

Produkty zahrnuté ve skóre zabezpečení

V současné době existují doporučení pro následující produkty:

  • Zásady správného řízení aplikací
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender pro Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview – ochrana informací
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Zvětšení

Doporučení pro další bezpečnostní produkty budou brzy k dispozici. Doporučení nepokrývají všechny potenciální potenciální plochy útoku spojené s jednotlivými produkty, ale představují dobrý základ. Doporučené akce můžete také označit jako akce, na které se vztahuje řešení jiné společnosti než Microsoft, nebo alternativní zmírnění rizik.

Výchozí hodnoty zabezpečení

Microsoft Secure Score obsahuje aktualizované doporučené akce pro podporu [výchozích nastavení zabezpečení v Microsoft Entra ID](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults, aby bylo snazší chránit vaši organizaci pomocí předkonfigurovaného nastavení zabezpečení pro běžné útoky.

Pokud zapnete výchozí nastavení zabezpečení, obdržíte úplné body za následující doporučené akce:

  • Ujistěte se, že všichni uživatelé můžou dokončit vícefaktorové ověřování pro zabezpečený přístup (devět bodů).
  • Vyžadování vícefaktorového ověřování pro role správce (10 bodů)
  • Povolení zásad pro blokování starší verze ověřování (sedm bodů)

Důležité

Mezi výchozí nastavení zabezpečení patří funkce zabezpečení, které poskytují podobné zabezpečení jako zásady rizik přihlašování a doporučené akce zásad rizik uživatelů. Místo nastavení těchto zásad nad výchozími nastaveními zabezpečení doporučujeme aktualizovat jejich stavy na Resolved through alternative mitigation.

Oprávnění k skóre zabezpečení

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Správa oprávnění pomocí Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC)

S Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) můžete vytvářet vlastní role se specifickými oprávněními pro skóre zabezpečení. Tato oprávnění se nacházejí v kategorii Stav zabezpečení v modelu oprávnění Defender XDR Unified RBAC a mají názvy Správa expozice (čtení) pro přístup jen pro čtení a Správa expozice (správa) pro uživatele, kteří budou mít přístup ke správě doporučení skóre zabezpečení.

Aby uživatelé měli přístup k datům skóre zabezpečení, vlastní role v Defender XDR Unified RBAC se přiřadí ke zdroji dat Správa míry rizika zabezpečení od Microsoftu.

Pokud chcete začít používat Microsoft Defender XDR Unified RBAC ke správě oprávnění skóre zabezpečení, přečtěte si téma Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC).

Poznámka

Defender XDR Unified RBAC je automaticky aktivní pro přístup ke skóre zabezpečení. Po vytvoření vlastní role s jedním z oprávnění to má okamžitý dopad na přiřazené uživatele. Není potřeba ho aktivovat.

V současné době se model podporuje jenom na portálu Microsoft Defender. Pokud chcete používat GraphAPI (například pro interní řídicí panely nebo skóre zabezpečení Defenderu for Identity), měli byste dál používat Microsoft Entra role. Podpora GraphAPI se plánuje později.

Microsoft Entra oprávnění globálních rolí

Microsoft Entra globální role (například globální správce) je stále možné použít pro přístup ke skóre zabezpečení. Uživatelé, kteří mají podporované Microsoft Entra globálních rolí, ale nejsou přiřazeni k vlastní roli v Microsoft Defender XDR Unified RBAC, budou mít i nadále přístup k zobrazení (a správě tam, kde je to povoleno) dat skóre zabezpečení, jak je uvedeno:

Následující role mají přístup ke čtení a zápisu a můžou provádět změny, přímo pracovat se skóre zabezpečení a ostatním uživatelům přiřazovat přístup jen pro čtení:

  • Globální správce
  • Správce zabezpečení
  • Správce Exchange
  • Správce SharePointu

Následující role mají přístup jen pro čtení a nemůžou upravovat stav nebo poznámky pro doporučenou akci, upravovat zóny skóre ani upravovat vlastní porovnání:

  • Správce helpdesku
  • Správce uživatelů
  • Správce podpory služeb
  • Čtenář zabezpečení
  • Operátor zabezpečení
  • Globální čtenář

Poznámka

Pokud chcete postupovat podle principu přístupu s nejnižšími oprávněními (při kterém uživatelům a skupinám udělíte oprávnění, které musí dělat svou práci), microsoft doporučuje odebrat všechny existující role se zvýšenými oprávněními Microsoft Entra globálních rolí pro uživatele nebo skupiny zabezpečení, kterým byla přiřazena vlastní role s oprávněními skóre zabezpečení. Tím se zajistí, že se projeví vlastní role Microsoft Defender XDR Unified RBAC.

Povědomí o riziku

Microsoft Secure Score je číselný souhrn stavu zabezpečení na základě konfigurací systému, chování uživatelů a dalších měření souvisejících se zabezpečením. Nejedná se o absolutní měřítko pravděpodobnosti narušení vašeho systému nebo dat. Spíše představuje rozsah, v jakém ve svém prostředí Microsoftu používáte bezpečnostní prvky, které vám můžou pomoct vyrovnát riziko porušení zabezpečení. Žádná online služba není imunní vůči porušení zabezpečení a bezpečnostní skóre by se nemělo žádným způsobem interpretovat jako záruka proti narušení zabezpečení.

Chceme znát váš názor.

Pokud máte nějaké problémy, dejte nám vědět tím, že zveřejníte příspěvek v komunitě Zabezpečení, ochrana osobních údajů & Dodržování předpisů .

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.