Del via

Oversigt over kritisk ressourcestyring

Microsoft Security Exposure Management strømliner identificering og prioritering af forretningskritiske aktiver, så risikoadministratorer og SOC-teams kan fokusere indsatsen, hvor de betyder mest, og reducere den overordnede risiko ved angrebsoverfladen. Klassificering af aktiver drives af privatejede klassificeringer, som kan finjusteres manuelt for at afspejle organisationskonteksten. I denne artikel beskrives de underliggende mekanismer, der bruges til at identificere og klassificere aktiver inden for rammerne af Beskyttelse af kritiske aktiver.

  • Microsoft Defender XDR automatisk registrerer og kategoriserer kritiske aktiver, strømliner identifikation og muliggør øjeblikkelig beskyttelse.
  • Dit sikkerhedsteam kan prioritere sikkerhedsundersøgelser, anbefalinger til holdning og afhjælpningstrin for først at fokusere på kritiske aktiver og systemer.

Foruddefinerede klassificeringer

Security Exposure Management indeholder et indbygget katalog over foruddefinerede klassifikationer af vigtige aktiver for aktiver, der omfatter enheder, identiteter og cloudressourcer. Foruddefinerede klassificeringer omfatter:

  • Vigtige cybersikkerhedsaktiver, f.eks. filservere og domænecontrollere
  • Databaser med følsomme data
  • Identitetsgrupper, f.eks. superbrugere
  • Brugerroller som administrator af privilegeret rolle

Derudover kan du oprette brugerdefinerede kritiske aktiver for at prioritere, hvad din organisation anser for at være kritisk, når du vurderer eksponering og risiko.

Identificering af kritiske aktiver

Kritiske aktiver kan identificeres på forskellige måder:

  • Automatisk: Løsningen anvender avancerede analyser til automatisk at identificere vigtige aktiver i din organisation på linje med foruddefinerede klassificeringer. Dette strømliner identifikationsprocessen, så du kan identificere aktiver, der kræver øget beskyttelse og øjeblikkelig opmærksomhed.
  • Med brugerdefinerede forespørgsler: Skrivning af brugerdefinerede forespørgsler giver dig mulighed for at udpege din organisations "kronjuveler" baseret på dine unikke kriterier. Med detaljeret kontrol kan du sikre, at du kan fokusere din sikkerhedsindsats præcist, hvor der er brug for dem.
  • Manuelt:
    • Gennemse aktiver i enhedslageret sorteret efter kritiskhedsniveau, og identificer aktiver, der kræver opmærksomhed.
    • Gennemse og godkend aktiver, der klassificeres automatisk, men med mindre tillid.

Klassificering af aktiver

Når forretningskritiske aktiver er defineret og identificeret, vises aktivkritiskhed med dine aktivoplysninger. Aktivkritiskhed er integreret i andre oplevelser i Defender-portalen, f.eks. i avanceret jagt, enhedsoversigten og i angrebsstier, der involverer kritiske aktiver.

I enhedslageret vises der f.eks. et kritisk niveau.

Skærmbillede af vinduet Enhedslager. Billedet indeholder en fremhævning af afsnittet om kritiskhedsniveau.

I et andet eksempel kan du på overfladekortet Angreb se efter eksponering for trusler og identificere kvælningspunkter, gloriefarven omkring aktivikonet og kronindikatoren visuelt angive det høje kritiskhedsniveau.

Skærmbillede af et aktiv, der vises på eksponeringskortet i forbindelse med andre forbindelser. To enheder på kortet viser høje kritiske niveauer.

Arbejde med aktivklassificeringer

Du kan arbejde med vigtige aktivindstillinger på følgende måde:

  • Opret brugerdefinerede klassificeringer: Du kan oprette nye vigtige aktivklassificeringer for enheder, identiteter og cloudressourcer, der er skræddersyet til din organisation.
    • Du kan bruge forespørgselsgeneratoren til at definere en ny klassificering. Du kan f.eks. oprette en forespørgsel for at definere enheder med en bestemt navngivningskonvention som kritisk.
    • Oprettelse af kritiske forespørgsler om aktivklassificering er også nyttig i begrænsede tilfælde, hvor ikke alle aktiver af interesse identificeres.
  • Føj aktiver til klassificeringer: Du kan manuelt føje aktiver til kritiske aktivklassificeringer.
  • Rediger kritiskhedsniveauer: Du kan vælge at redigere kritiskhedsniveauer i henhold til organisationens risikoprofil.
  • Rediger brugerdefinerede klassificeringer: Du kan redigere, slette og deaktivere brugerdefinerede klassificeringer. Foruddefinerede klassificeringer kan ikke ændres. Funktionaliteten "Deaktiver" er tilgængelig for foruddefinerede forespørgsler. Det er dog muligvis ikke synligt for nogle brugere på grund af specifikke problemer.

Gennemgang af kritiske aktiver

Den kritiske logik til klassificering af aktiver bruger funktionsmåder for aktiver fra Microsoft Defender arbejdsbelastninger og integrationer fra tredjepart. Hvis du vil implementere anden logik, skal du slå reglen fra og oprette en brugerdefineret regel, der passer til dine scenarier.

Nogle aktiver, der matcher en klassificering, opfylder muligvis ikke tærsklen for kritiskhed. Et aktiv kan f.eks. være en domænecontroller, men det anses muligvis ikke for at være afgørende for din virksomhed. Brug funktionen til gennemgang af aktiver til at føje disse aktiver til din definerede klassificering. Denne funktion giver dig mulighed for at inkludere aktiver baseret på organisationens specifikke kriterier for kritiskhed.

Initiativ til kritisk beskyttelse af aktiver

Initiativet Critical Asset Protection hjælper med at prioritere forretningskritiske systemer og aktiver og fokuserer SOC-teamets indsats på at forbedre robusthed, overvågning og svar på hændelser. Dette initiativ er tilgængeligt i afsnittet Initiativer under Eksponeringsindsigt på portalen Microsoft Defender.

  • Initiativet overvåger løbende sikkerheden for dine kritiske aktiver og giver indsigt i effektiviteten af dine beskyttelsesforanstaltninger i realtid. Brug initiativresultatet til at sammenligne robustheden af kritiske aktiver på tværs af forskellige miljøer, hvilket hjælper dig med at identificere områder, der kræver mere fokus og forbedring.
  • Initiativet giver indblik i alle kritiske aktiver i din organisation, identificerer potentielle huller i registreringen af vigtige aktiver og finjusterer dine klassificeringer i overensstemmelse hermed. Initiativet konsoliderer oplysninger om kritiske aktiver og deres modstandsdygtighed over for sikkerhed i en enkelt visning. Denne omfattende rapport giver dig mulighed for at træffe velunderbyggede beslutninger og træffe proaktive foranstaltninger for at beskytte dine vigtige aktiver.

Næste trin

Klassificer kritiske aktiver.