Bewerten von Sicherheitsempfehlungen

  • Artikel

In Microsoft Defender for Cloud werden Ressourcen und Workloads anhand der integrierten und benutzerdefinierten Sicherheitsstandards bewertet, die in Ihren Azure-Abonnements, Amazon Web Services-Konten (AWS) und Google Cloud Platform-Projekten (GCP) aktiviert sind. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zur Behebung von Sicherheitsproblemen und zur Verbesserung des Sicherheitsstatus.

Defender for Cloud nutzt proaktiv eine dynamische Engine, die die Risiken in Ihrer Umgebung bewertet und dabei das Ausnutzungspotenzial und die möglichen geschäftlichen Auswirkungen auf Ihre Organisation berücksichtigt. Die Engine priorisiert Sicherheitsempfehlungen basierend auf den Risikofaktoren jeder Ressource, die durch den Kontext der Umgebung bestimmt werden, einschließlich Konfiguration, Netzwerkverbindungen und Sicherheitsstatus der Ressource.

Voraussetzungen

Hinweis

Empfehlungen sind standardmäßig in Defender for Cloud enthalten, aber Sie können die Risikopriorisierung nicht sehen, wenn Defender CSPM in Ihrer Umgebung nicht aktiviert ist.

Überprüfen von Empfehlungsdetails

Es ist wichtig, dass Sie sich alle Details zu einer Empfehlung ansehen, bevor Sie versuchen, den Prozess zu verstehen, der zur Lösung der Empfehlung erforderlich ist. Sie sollten sich vergewissern, dass alle Details der Empfehlung korrekt sind, bevor Sie die Empfehlung auflösen.

So überprüfen Sie die Details einer Empfehlung:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie eine Empfehlung aus.

  4. Überprüfen Sie auf der Seite der Empfehlung die Details:

    • Risikostufe – Die Ausnutzungsfähigkeit und die geschäftlichen Auswirkungen des zugrunde liegenden Sicherheitsproblems, unter Berücksichtigung des Umgebungsressourcenkontexts, z. B. Internetexposition, sensible Daten, Lateralbewegung und vieles mehr.
    • Risikofaktoren - Umweltfaktoren der von der Empfehlung betroffenen Ressource, die die Ausnutzbarkeit und die geschäftlichen Auswirkungen des zugrunde liegenden Sicherheitsproblems beeinflussen. Beispiele für Risikofaktoren sind Internetexposition, vertrauliche Daten, Lateralbewegungspotenzial.
    • Ressource: der Name der betroffenen Ressource.
    • Status: der Status der Empfehlung. Beispiel: Nicht zugewiesen, rechtzeitig, überfällig.
    • Beschreibung: Eine kurze Beschreibung des Sicherheitsproblems.
    • Angriffspfade: Die Anzahl der Angriffspfade.
    • Bereich: Das betroffene Abonnement bzw. die betroffene Ressource.
    • Aktualität: Das Aktualisierungsintervall für die Empfehlung.
    • Datum der letzten Änderung: Das Datum, an dem die Empfehlung zuletzt geändert wurde.
    • Besitzer: Die Person, die der Empfehlung zugewiesen ist.
    • Fälligkeitsdatum: Das Datum, bis zu dem die Empfehlung angewendet werden muss.
    • Taktiken und Techniken – Die Taktiken und Techniken, die MITRE ATT & CK zugeordnet sind.

Untersuchen einer Empfehlung

Sie können eine Reihe von Aktionen ausführen, um mit Empfehlungen zu interagieren. Wenn eine Option nicht verfügbar ist, ist sie für die jeweilige Empfehlung nicht relevant.

Untersuchen einer Empfehlung:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie eine Empfehlung aus.

  4. Sie können die folgenden Aktionen in der Empfehlung ausführen:

    • Wählen Sie Abfrage öffnen aus, um mithilfe einer Abfrage im Azure Resource Graph-Explorer detaillierte Informationen zu den betroffenen Ressourcen anzuzeigen.

    • Wählen Sie Richtliniendefinition anzeigen aus, um den Azure Policy-Eintrag für die zugrunde liegende Empfehlung anzuzeigen (sofern relevant).

  5. Unter Maßnahme ergreifen:

    • Korrigieren: Eine Beschreibung der manuellen Schritte, die erforderlich sind, um das Sicherheitsproblem für die betroffenen Ressourcen zu beheben. Für Empfehlungen mit der Option Korrigieren können Sie Korrekturlogik anzeigen auswählen, bevor Sie die vorgeschlagene Korrektur auf die Ressourcen anwenden.

    • Besitzer und Fälligkeitsdatum zuweisen: Wenn eine Governanceregel für die Empfehlung aktiviert ist, können Sie eine*n Besitzer*in und ein Fälligkeitsdatum zuweisen.

    • Ausnahme: Sie können Ressourcen von der Empfehlung ausschließen oder bestimmte Ergebnisse deaktivieren, indem Sie Regeln deaktivieren.

    • Workflowautomatisierung: Legen Sie eine Logik-App fest, die mit dieser Empfehlung ausgelöst werden soll.

    Screenshot, der zeigt, was sie in der Empfehlung sehen können, wenn Sie die Registerkarte „Aktion ausführen“ auswählen

  6. In Ergebnisse können Sie zugehörige Ergebnisse nach Schweregrad sortiert überprüfen.

    Screenshot der Registerkarte „Ergebnisse“ in einer Empfehlung, die alle Angriffspfade für diese Empfehlung anzeigt

  7. In Graph können Sie den gesamten Kontext anzeigen und untersuchen, der für die Risikopriorisierung verwendet wird, einschließlich Angriffspfade. Sie können einen Knoten in einem Angriffspfad auswählen, um die Details des ausgewählten Knotens anzuzeigen.

    Screenshot der Registerkarte „Graph“ in einer Empfehlung, die alle Angriffspfade für diese Empfehlung anzeigt

  8. Wählen Sie einen Knoten aus, um weitere Details anzuzeigen.

    Screenshot eines Knotens, der sich auf der ausgewählten Registerkarte „Graph“ befindet und die zusätzlichen Details anzeigt

  9. Wählen Sie Erkenntnisse aus.

  10. Wählen Sie im Dropdownmenü „Sicherheitsrisiko“ ein Sicherheitsrisiko aus, um die Details anzuzeigen.

    Screenshot der Registerkarte „Einblicke“ für einen bestimmten Knoten.

  11. (Optional) Wählen Sie Seite „Sicherheitsrisiko“ öffnen aus, um die zugehörige Empfehlungsseite anzuzeigen.

  12. Korrigieren Sie die Empfehlung.

Gruppieren von Empfehlungen nach Titel

Auf der Empfehlungsseite von Defender for Cloud können Sie Empfehlungen nach Titel gruppieren. Dieses Feature ist nützlich, wenn Sie eine Empfehlung korrigieren möchten, die sich auf mehrere Ressourcen auswirkt, die durch ein bestimmtes Sicherheitsproblem verursacht werden.

Gruppieren von Empfehlungen nach Titel:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie Gruppieren nach Titel aus.

    Screenshot der Seite „Empfehlungen“, auf der angezeigt wird, wo sich der Umschalter „Gruppieren nach Titel“ auf dem Bildschirm befindet

Verwalten von Empfehlungen, die Ihnen zugewiesen sind

Defender for Cloud unterstützt Governanceregeln für Empfehlungen, mit denen Sie Empfehlungsbesitzer*innen oder ein Fälligkeitsdatum für Maßnahmen angeben können. Governanceregeln tragen dazu bei, für Empfehlungen die Verantwortlichkeit sicherzustellen und eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) zu erfüllen.

  • Empfehlungen werden als Rechtzeitig aufgeführt, bis ihr Fälligkeitsdatum überschritten wird. Dann werden sie als Überfällig aufgeführt.
  • Bevor die Empfehlung überfällig wird, wirkt sich die Empfehlung nicht auf die Sicherheitsbewertung aus.
  • Sie können auch eine Toleranzperiode anwenden, in der überfällige Empfehlungen weiterhin keine Auswirkungen auf die Sicherheitsbewertung haben.

Erfahren Sie mehr über das Konfigurieren von Governanceregeln.

Verwalten von Empfehlungen, die Ihnen zugewiesen sind:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie Filter hinzufügen>Besitzer*in aus.

  4. Wählen Sie Ihren Benutzereintrag aus.

  5. Wählen Sie Übernehmen.

  6. Überprüfen Sie in den Empfehlungsergebnissen die Empfehlungen, einschließlich betroffener Ressourcen, Risikofaktoren, Angriffspfade, Fälligkeitsdatum und Status.

  7. Wählen Sie eine Empfehlung aus, um sie genauer zu überprüfen.

  8. Wählen Sie unter Maßnahme ergreifen>Besitzer und Fälligkeitsdatum ändern die Option Zuweisen ändern, um bei Bedarf den Empfehlungsbesitzer und das Fälligkeitsdatum ändern.

    • Die Besitzer*innen einer Ressource erhalten standardmäßig eine wöchentliche E-Mail mit den Empfehlungen, die ihnen zugewiesen sind.
    • Wenn Sie ein neues Datum für die Wartung bzw. Korrektur auswählen, geben Sie in Begründung an, weshalb die Korrektur bis zu diesem Datum erfolgen soll.
    • Unter E-Mail-Benachrichtigungen aktivieren können Sie folgende Aktionen ausführen:
      • Sie können die standardmäßige wöchentliche E-Mail an Besitzer*innen außer Kraft setzen.
      • Sie können Besitzer*innen wöchentlich eine Liste der offenen/überfälligen Aufgaben senden.
      • Sie können den direkten Vorgesetzten der Besitzer*innen eine Liste der offenen Aufgaben senden.

  9. Klicken Sie auf Speichern.

Hinweis

Wenn Sie das erwartete Abschlussdatum ändern, ändert sich das Fälligkeitsdatum für die Empfehlung nicht, aber Sicherheitspartner können sehen, dass Sie vorhaben, die Ressourcen bis zum angegebenen Datum zu aktualisieren.

Überprüfen von Empfehlungen in Azure Resource Graph

Sie können Azure Resource Graph verwenden, um mit der Kusto-Abfragesprache (KQL) den Defender for Cloud-Sicherheitsstatus für mehrere Abonnements abzufragen. Azure Resource Graph bietet eine effiziente Möglichkeit, Abfragen für Cloudumgebungen im großen Stil auszuführen, indem Sie Daten anzeigen, filtern, gruppieren und sortieren.

Überprüfen von Empfehlungen in Azure Resource Graph:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie eine Empfehlung aus.

  4. Klicken Sie auf Abfrage öffnen.

  5. Zum Öffnen der Abfrage stehen Ihnen zwei Möglichkeiten zur Auswahl:

    • Abfrage, welche betroffene Ressourcen zurückgibt: Gibt eine Liste der Ressourcen zurück, die von dieser Empfehlung betroffen sind.
    • Abfrage, welche Sicherheitsergebnisse zurückgibt: Gibt eine Liste aller Sicherheitsprobleme zurück, die von der Empfehlung gefunden wurden.

  6. Wählen Sie Abfrage ausführen aus.

    Screenshot des Azure Resource Graph-Explorers mit den Ergebnissen für die Empfehlung aus dem vorherigen Screenshot

  7. Überprüfen Sie die Ergebnisse.

Beispiel

In diesem Beispiel werden auf der Seite mit den Details der Empfehlung 15 betroffene Ressourcen angezeigt:

Screenshot der Schaltfläche „Abfrage öffnen“ auf der Seite mit den Empfehlungsdetails

Wenn Sie die zugrunde liegende Abfrage öffnen und ausführen, gibt der Azure Resource Graph-Explorer dieselben betroffenen Ressourcen und ihren Integritätsstatus für diese Empfehlung zurück.

Nächster Schritt

Anwenden von Sicherheitsempfehlungen