Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Microsoft Defender für Cloud werden Ressourcen und Workloads anhand integrierter und benutzerdefinierter Sicherheitsstandards bewertet, die in Ihren Azure-Abonnements, Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekten aktiviert sind. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zur Behebung von Sicherheitsproblemen und zur Verbesserung des Sicherheitsstatus.
Defender for Cloud verwendet proaktiv ein dynamisches Modul, das die Risiken in Ihrer Umgebung bewertet und gleichzeitig das Potenzial für die Ausbeutung und die potenziellen Auswirkungen auf Ihr Unternehmen berücksichtigt. Das Modul priorisiert Sicherheitsempfehlungen basierend auf den Risikofaktoren jeder Ressource. Der Kontext der Umgebung bestimmt diese Risikofaktoren. Dieser Kontext umfasst die Konfiguration der Ressource, Netzwerkverbindungen und Sicherheitsstatus.
Voraussetzungen
- Sie müssen Defender Cloud Security Posture Management (CSPM) in Ihrer Umgebung aktivieren.
Hinweis
Empfehlungen sind standardmäßig in Defender für Cloud enthalten, sie können jedoch keine Risikopriorisierung sehen, ohne dass Defender CSPM in Ihrer Umgebung aktiviert ist.
Überprüfen der Seite "Empfehlungen"
Überprüfen Sie alle Details zu einer Empfehlung, bevor Sie versuchen, den Prozess zu verstehen, der erforderlich ist, um die Empfehlung zu beheben. Stellen Sie sicher, dass alle Empfehlungsdetails korrekt sind, bevor Sie die Empfehlung auflösen.
So überprüfen Sie die Details einer Empfehlung:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender für Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Überprüfen Sie auf der Empfehlungsseite die folgenden Details:
- Risikostufe – Die Sicherheitsrisiken und geschäftlichen Auswirkungen des zugrunde liegenden Sicherheitsproblems, unter Berücksichtigung des Umgebungsressourcenkontexts wie Internetexposition, sensibler Daten, lateraler Bewegung und mehr.
- Risikofaktoren – Umweltfaktoren der Ressource, die von der Empfehlung betroffen sind, was die Sicherheitslücke und die Geschäftswirkung des zugrunde liegenden Sicherheitsproblems beeinflusst. Beispiele für Risikofaktoren sind Internetexposition, sensible Daten und Lateral Movement Potential.
- Ressource – Der Name der betroffenen Ressource.
- Status – Der Status der Empfehlung, z. B. nicht zugewiesen, rechtzeitig oder überfällig.
- Beschreibung – Eine kurze Beschreibung des Sicherheitsproblems.
- Angriffspfade – Die Anzahl der Angriffspfade.
- Bereich – Das betroffene Abonnement oder die betroffene Ressource.
- Aktualität: das Aktualisierungsintervall für die Empfehlung.
- Datum der letzten Änderung – Das Datum, an dem diese Empfehlung zuletzt geändert wurde.
- Schweregrad – Der Schweregrad der Empfehlung (Hoch, Mittel oder Niedrig). Weitere Details werden zur Verfügung gestellt.
- Verantwortlicher – Die Person, der die Empfehlung zugewiesen wurde.
- Fälligkeitsdatum – Das zugewiesene Fälligkeitsdatum zum Auflösen der Empfehlung.
- Taktiken und Techniken - Die Taktiken und Techniken, die MITRE ATT&CK zugeordnet sind.
Eine Empfehlung erkunden
Sie können verschiedene Aktionen ausführen, um mit Empfehlungen zu interagieren. Wenn eine Option nicht verfügbar ist, ist sie für die Empfehlung nicht relevant.
So erkunden Sie eine Empfehlung:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender für Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Innerhalb der Empfehlung können Sie diese Aktionen ausführen:
Wählen Sie "Abfrage öffnen" aus, um detaillierte Informationen zu den betroffenen Ressourcen mit einer Azure Resource Graph Explorer-Abfrage anzuzeigen.
Wählen Sie "Richtliniendefinition anzeigen" aus, um den Azure-Richtlinieneintrag für die zugrunde liegende Empfehlung anzuzeigen, falls relevant.
Wählen Sie "Empfehlung anzeigen" für alle Ressourcen aus, um alle ressourcen anzuzeigen, die von der Empfehlung betroffen sind.
Unter Maßnahme ergreifen:
Behebung: Eine Beschreibung der manuellen Schritte, die erforderlich sind, um das Sicherheitsproblem für die betroffenen Ressourcen zu beheben. Für Empfehlungen mit der Option " Korrigieren " können Sie die Logik zur Korrektur anzeigen auswählen, bevor Sie den vorgeschlagenen Fix auf Ihre Ressourcen anwenden.
Empfehlungsbesitzer und Fälligkeitsdatum festlegen: Wenn für die Empfehlung eine Governanceregel aktiviert ist, können Sie einen Besitzer und ein Fälligkeitsdatum zuweisen.
Ausgenommen: Sie können Ressourcen von der Empfehlung ausschließen oder bestimmte Ergebnisse durch Deaktivierungsregeln deaktivieren.
Workflowautomatisierung: Legen Sie eine Logik-App fest, die mit der Empfehlung ausgelöst werden soll.
In "Ergebnisse" können Sie verbundene Ergebnisse nach Schweregrad überprüfen.
In Graph können Sie den gesamten Kontext anzeigen und untersuchen, der für die Risikopriorisierung verwendet wird, einschließlich Angriffspfaden. Sie können einen Knoten in einem Angriffspfad auswählen, um die Details des ausgewählten Knotens anzuzeigen.
Zeigen Sie weitere Details an, indem Sie einen Knoten auswählen.
Wählen Sie Insights aus.
Wählen Sie im Dropdownmenü "Sicherheitsanfälligkeit" eine Sicherheitslücke aus, um die Details anzuzeigen.
(Optional) Wählen Sie die Seite "Sicherheitsanfälligkeit öffnen" aus, um die zugehörige Empfehlungsseite anzuzeigen.
Gruppieren von Empfehlungen nach Titel
Auf der Empfehlungsseite von Defender für Cloud können Sie Empfehlungen nach Titel gruppieren. Dieses Feature ist nützlich, wenn Sie eine Empfehlung beheben möchten, die sich auf mehrere Ressourcen aufgrund eines bestimmten Sicherheitsproblems auswirkt.
So gruppieren Sie Empfehlungen nach Titel:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender für Cloud>Empfehlungen.
Wählen Sie "Gruppieren nach Titel" aus.
Ihnen zugewiesene Empfehlungen verwalten
Defender for Cloud unterstützt Governanceregeln für Empfehlungen, mit denen Sie Empfehlungsbesitzende oder ein Fälligkeitsdatum für Maßnahmen angeben können. Die Governance-Regeln helfen dabei, die Verantwortlichkeit sicherzustellen und eine Service-Level-Vereinbarung für Empfehlungen zu gewährleisten.
- Empfehlungen werden als "Rechtzeitig" aufgeführt, bis ihr Fälligkeitsdatum abgelaufen ist, wenn sie in "Überfällig" geändert werden.
- Bevor die Empfehlung überfällig ist, wirkt sich dies nicht auf die Sicherheitsbewertung aus.
- Sie können auch eine Nachfrist anwenden, in der sich überfällige Empfehlungen nicht auf die Sicherheitsbewertung auswirken.
Erfahren Sie mehr über das Konfigurieren von Governanceregeln.
So verwalten Sie Ihnen zugewiesene Empfehlungen:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender für Cloud>Empfehlungen.
Wählen Sie Filter hinzufügen>Besitzer aus.
Wählen Sie Ihren Benutzereintrag aus.
Wählen Sie Übernehmen aus.
Überprüfen Sie in den Empfehlungsergebnissen die Empfehlungen, einschließlich betroffener Ressourcen, Risikofaktoren, Angriffspfade, Fälligkeitsdaten und Status.
Wählen Sie eine Empfehlung aus, um sie weiter zu überprüfen.
Wählen Sie unter Maßnahme ergreifen>Besitzer und Fälligkeitsdatum ändern die Option Zuweisung ändern aus, um bei Bedarf den Empfehlungsbesitz und das Fälligkeitsdatum ändern. – Standardmäßig erhält der Besitzer der Ressource eine wöchentliche E-Mail mit den ihnen zugewiesenen Empfehlungen. - Wenn Sie ein neues Wartungsdatum auswählen, geben Sie die Gründe für die Korrektur bis zu diesem Datum in der Begründung an. - In "E-Mail-Benachrichtigungen festlegen" können Sie: - Überschreiben Sie die wöchentliche Standard-E-Mail an den Besitzer. – Benachrichtigen Sie Besitzer wöchentlich mit einer Liste der geöffneten/überfälligen Aufgaben. – Benachrichtigen Sie den direkten Vorgesetzten des Besitzers mit einer offenen Aufgabenliste.
Wählen Sie Speichern aus.
Hinweis
Das Ändern des erwarteten Fertigstellungsdatums ändert nicht das Fälligkeitsdatum für die Empfehlung, aber Sicherheitspartner können sehen, dass Sie beabsichtigen, die Ressourcen nach dem angegebenen Datum zu aktualisieren.
Überprüfen von Empfehlungen in Azure Resource Graph
Sie können Azure Resource Graph verwenden, um eine Kusto Query Language (KQL) zu schreiben, um Defender für Cloud-Sicherheitsstatusdaten über mehrere Abonnements abzufragen. Azure Resource Graph bietet eine effiziente Möglichkeit zum Abfragen in cloudübergreifenden Umgebungen durch Anzeigen, Filtern, Gruppieren und Sortieren von Daten.
So überprüfen Sie Empfehlungen in Azure Resource Graph:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender für Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Klicken Sie auf Abfrage öffnen.
Sie können die Abfrage auf eine von zwei Arten öffnen:
- Abfrage, die betroffene Ressource zurückgibt – Gibt eine Liste aller ressourcen zurück, die von dieser Empfehlung betroffen sind.
- Abfrage, die Sicherheitsergebnisse zurückgibt – Gibt eine Liste aller Sicherheitsprobleme zurück, die von der Empfehlung gefunden wurden.
Wählen Sie die Ausführungsabfrage aus.
Überprüfen Sie die Ergebnisse.
Wie werden Empfehlungen klassifiziert?
Jede Sicherheitsempfehlung von Defender für Cloud erhält eine von drei Schweregradbewertungen:
Hoher Schweregrad: Wenden Sie sich sofort an diese Empfehlungen, da sie auf eine kritische Sicherheitslücke hinweisen, die ein Angreifer ausnutzen könnte, um nicht autorisierten Zugriff auf Ihre Systeme oder Daten zu erhalten. Beispiele für Empfehlungen mit hohem Schweregrad sind ungeschützte Geheimnisse auf einem Computer, übermäßig zulässige NSG-Regeln für eingehende Daten, Cluster, die eine Bereitstellung von Images aus nicht vertrauenswürdigen Registern zulassen, sowie der uneingeschränkte öffentliche Zugriff auf Speicherkonten oder Datenbanken.
Mittlerer Schweregrad: Diese Empfehlungen weisen auf ein potenzielles Sicherheitsrisiko hin, das zeitnah behandelt werden sollte, aber möglicherweise keine sofortige Aufmerksamkeit erfordert. Beispiele für Empfehlungen des mittleren Schweregrads sind Container, die vertrauliche Hostnamespaces gemeinsam nutzen, Web-Apps, die keine verwalteten Identitäten verwenden, Linux-Computer, die während der Authentifizierung keine SSH-Schlüssel erfordern, und nicht verwendete Anmeldeinformationen, die nach 90 Tagen Inaktivität im System verbleiben.
Niedriger Schweregrad: Diese Empfehlungen weisen auf ein relativ kleines Sicherheitsproblem hin, das zu Ihrer Bequemlichkeit behoben werden kann. Beispiele für Empfehlungen mit geringem Schweregrad sind die Notwendigkeit, die lokale Authentifizierung zugunsten der Microsoft Entra-ID zu deaktivieren, Integritätsprobleme mit Ihrer Endpunktschutzlösung, bewährte Methoden, die nicht mit Netzwerksicherheitsgruppen befolgt werden, oder falsch konfigurierte Protokollierungseinstellungen, die das Erkennen und Reagieren auf Sicherheitsvorfälle erschweren könnten.
Die internen Ansichten einer Organisation können sich von der Klassifizierung einer bestimmten Empfehlung von Microsoft unterscheiden. Daher empfiehlt es sich immer, jede Empfehlung sorgfältig zu überprüfen und ihre potenziellen Auswirkungen auf Ihren Sicherheitsstatus zu berücksichtigen, bevor Sie entscheiden, wie sie adressiert werden soll.
Hinweis
Defender CSPM-Kunden haben Zugriff auf ein umfassenderes Klassifizierungssystem, bei dem Empfehlungen eine dynamischere Risikostufe angezeigt werden, die den Kontext der Ressource und aller zugehörigen Ressourcen nutzt. Erfahren Sie mehr über die Risikopriorisierung.
Beispiel
In diesem Beispiel zeigt diese Empfehlungsdetailseite 15 betroffene Ressourcen an:
Wenn Sie die zugrunde liegende Abfrage öffnen und ausführen, gibt azure Resource Graph Explorer die gleichen betroffenen Ressourcen für diese Empfehlung zurück.