Bewerten von Sicherheitsempfehlungen
In Microsoft Defender for Cloud werden Ressourcen und Workloads anhand der integrierten und benutzerdefinierten Sicherheitsstandards bewertet, die in Ihren Azure-Abonnements, Amazon Web Services-Konten (AWS) und Google Cloud Platform-Projekten (GCP) aktiviert sind. Basierend auf diesen Bewertungen bieten Sicherheitsempfehlungen praktische Schritte zur Behebung von Sicherheitsproblemen und zur Verbesserung des Sicherheitsstatus.
Defender for Cloud nutzt proaktiv eine dynamische Engine, die die Risiken in Ihrer Umgebung bewertet und dabei das Ausnutzungspotenzial und die möglichen geschäftlichen Auswirkungen auf Ihre Organisation berücksichtigt. Die Engine priorisiert Sicherheitsempfehlungen basierend auf den Risikofaktoren jeder Ressource, die durch den Kontext der Umgebung bestimmt werden, einschließlich Konfiguration, Netzwerkverbindungen und Sicherheitsstatus der Ressource.
Voraussetzungen
- Sie müssen für Ihre Umgebung Defender CSPM aktivieren.
Hinweis
Empfehlungen sind standardmäßig in Defender for Cloud enthalten, aber Sie können die Risikopriorisierung nicht sehen, wenn Defender CSPM in Ihrer Umgebung nicht aktiviert ist.
Überprüfen von Empfehlungsdetails
Es ist wichtig, dass Sie sich alle Details zu einer Empfehlung ansehen, bevor Sie versuchen, den Prozess zu verstehen, der zur Lösung der Empfehlung erforderlich ist. Sie sollten sich vergewissern, dass alle Details der Empfehlung korrekt sind, bevor Sie die Empfehlung auflösen.
So überprüfen Sie die Details einer Empfehlung:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Überprüfen Sie auf der Seite der Empfehlung die Details:
- Risikostufe – Die Ausnutzungsfähigkeit und die geschäftlichen Auswirkungen des zugrunde liegenden Sicherheitsproblems, unter Berücksichtigung des Umgebungsressourcenkontexts, z. B. Internetexposition, sensible Daten, Lateralbewegung und vieles mehr.
- Risikofaktoren - Umweltfaktoren der von der Empfehlung betroffenen Ressource, die die Ausnutzbarkeit und die geschäftlichen Auswirkungen des zugrunde liegenden Sicherheitsproblems beeinflussen. Beispiele für Risikofaktoren sind Internetexposition, vertrauliche Daten, Lateralbewegungspotenzial.
- Ressource: der Name der betroffenen Ressource.
- Status: der Status der Empfehlung. Beispiel: Nicht zugewiesen, rechtzeitig, überfällig.
- Beschreibung: Eine kurze Beschreibung des Sicherheitsproblems.
- Angriffspfade: Die Anzahl der Angriffspfade.
- Bereich: Das betroffene Abonnement bzw. die betroffene Ressource.
- Aktualität: Das Aktualisierungsintervall für die Empfehlung.
- Datum der letzten Änderung: Das Datum, an dem die Empfehlung zuletzt geändert wurde.
- Schweregrad – Der Schweregrad der Empfehlung (Hoch, Mittel oder Niedrig). Unten sind weitere Details hierzu angegeben.
- Besitzer: Die Person, die der Empfehlung zugewiesen ist.
- Fälligkeitsdatum: Das Datum, bis zu dem die Empfehlung angewendet werden muss.
- Taktiken und Techniken – Die Taktiken und Techniken, die MITRE ATT & CK zugeordnet sind.
Untersuchen einer Empfehlung
Sie können eine Reihe von Aktionen ausführen, um mit Empfehlungen zu interagieren. Wenn eine Option nicht verfügbar ist, ist sie für die jeweilige Empfehlung nicht relevant.
Untersuchen einer Empfehlung:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Sie können die folgenden Aktionen in der Empfehlung ausführen:
Wählen Sie Abfrage öffnen aus, um mithilfe einer Abfrage im Azure Resource Graph-Explorer detaillierte Informationen zu den betroffenen Ressourcen anzuzeigen.
Wählen Sie Richtliniendefinition anzeigen aus, um den Azure Policy-Eintrag für die zugrunde liegende Empfehlung anzuzeigen (sofern relevant).
Unter Maßnahme ergreifen:
Korrigieren: Eine Beschreibung der manuellen Schritte, die erforderlich sind, um das Sicherheitsproblem für die betroffenen Ressourcen zu beheben. Für Empfehlungen mit der Option Korrigieren können Sie Korrekturlogik anzeigen auswählen, bevor Sie die vorgeschlagene Korrektur auf die Ressourcen anwenden.
Besitzer und Fälligkeitsdatum zuweisen: Wenn eine Governanceregel für die Empfehlung aktiviert ist, können Sie eine*n Besitzer*in und ein Fälligkeitsdatum zuweisen.
Ausnahme: Sie können Ressourcen von der Empfehlung ausschließen oder bestimmte Ergebnisse deaktivieren, indem Sie Regeln deaktivieren.
Workflowautomatisierung: Legen Sie eine Logik-App fest, die mit dieser Empfehlung ausgelöst werden soll.
In Ergebnisse können Sie zugehörige Ergebnisse nach Schweregrad sortiert überprüfen.
In Graph können Sie den gesamten Kontext anzeigen und untersuchen, der für die Risikopriorisierung verwendet wird, einschließlich Angriffspfade. Sie können einen Knoten in einem Angriffspfad auswählen, um die Details des ausgewählten Knotens anzuzeigen.
Wählen Sie einen Knoten aus, um weitere Details anzuzeigen.
Wählen Sie Erkenntnisse aus.
Wählen Sie im Dropdownmenü „Sicherheitsrisiko“ ein Sicherheitsrisiko aus, um die Details anzuzeigen.
(Optional) Wählen Sie Seite „Sicherheitsrisiko“ öffnen aus, um die zugehörige Empfehlungsseite anzuzeigen.
Gruppieren von Empfehlungen nach Titel
Auf der Empfehlungsseite von Defender for Cloud können Sie Empfehlungen nach Titel gruppieren. Dieses Feature ist nützlich, wenn Sie eine Empfehlung korrigieren möchten, die sich auf mehrere Ressourcen auswirkt, die durch ein bestimmtes Sicherheitsproblem verursacht werden.
Gruppieren von Empfehlungen nach Titel:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie Gruppieren nach Titel aus.
Verwalten von Empfehlungen, die Ihnen zugewiesen sind
Defender for Cloud unterstützt Governanceregeln für Empfehlungen, mit denen Sie Empfehlungsbesitzer*innen oder ein Fälligkeitsdatum für Maßnahmen angeben können. Governanceregeln tragen dazu bei, für Empfehlungen die Verantwortlichkeit sicherzustellen und eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) zu erfüllen.
- Empfehlungen werden als Rechtzeitig aufgeführt, bis ihr Fälligkeitsdatum überschritten wird. Dann werden sie als Überfällig aufgeführt.
- Bevor die Empfehlung überfällig wird, wirkt sich die Empfehlung nicht auf die Sicherheitsbewertung aus.
- Sie können auch eine Toleranzperiode anwenden, in der überfällige Empfehlungen weiterhin keine Auswirkungen auf die Sicherheitsbewertung haben.
Erfahren Sie mehr über das Konfigurieren von Governanceregeln.
Verwalten von Empfehlungen, die Ihnen zugewiesen sind:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie Filter hinzufügen>Besitzer*in aus.
Wählen Sie Ihren Benutzereintrag aus.
Wählen Sie Übernehmen.
Überprüfen Sie in den Empfehlungsergebnissen die Empfehlungen, einschließlich betroffener Ressourcen, Risikofaktoren, Angriffspfade, Fälligkeitsdatum und Status.
Wählen Sie eine Empfehlung aus, um sie genauer zu überprüfen.
Wählen Sie unter Maßnahme ergreifen>Besitzer und Fälligkeitsdatum ändern die Option Zuweisen ändern, um bei Bedarf den Empfehlungsbesitzer und das Fälligkeitsdatum ändern.
- Die Besitzer*innen einer Ressource erhalten standardmäßig eine wöchentliche E-Mail mit den Empfehlungen, die ihnen zugewiesen sind.
- Wenn Sie ein neues Datum für die Wartung bzw. Korrektur auswählen, geben Sie in Begründung an, weshalb die Korrektur bis zu diesem Datum erfolgen soll.
- Unter E-Mail-Benachrichtigungen aktivieren können Sie folgende Aktionen ausführen:
- Sie können die standardmäßige wöchentliche E-Mail an Besitzer*innen außer Kraft setzen.
- Sie können Besitzer*innen wöchentlich eine Liste der offenen/überfälligen Aufgaben senden.
- Sie können den direkten Vorgesetzten der Besitzer*innen eine Liste der offenen Aufgaben senden.
Klicken Sie auf Speichern.
Hinweis
Wenn Sie das erwartete Abschlussdatum ändern, ändert sich das Fälligkeitsdatum für die Empfehlung nicht, aber Sicherheitspartner können sehen, dass Sie vorhaben, die Ressourcen bis zum angegebenen Datum zu aktualisieren.
Überprüfen von Empfehlungen in Azure Resource Graph
Sie können Azure Resource Graph verwenden, um mit der Kusto-Abfragesprache (KQL) den Defender for Cloud-Sicherheitsstatus für mehrere Abonnements abzufragen. Azure Resource Graph bietet eine effiziente Möglichkeit, Abfragen für Cloudumgebungen im großen Stil auszuführen, indem Sie Daten anzeigen, filtern, gruppieren und sortieren.
Überprüfen von Empfehlungen in Azure Resource Graph:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Klicken Sie auf Abfrage öffnen.
Zum Öffnen der Abfrage stehen Ihnen zwei Möglichkeiten zur Auswahl:
- Abfrage, welche betroffene Ressourcen zurückgibt: Gibt eine Liste der Ressourcen zurück, die von dieser Empfehlung betroffen sind.
- Abfrage, welche Sicherheitsergebnisse zurückgibt: Gibt eine Liste aller Sicherheitsprobleme zurück, die von der Empfehlung gefunden wurden.
Wählen Sie Abfrage ausführen aus.
Überprüfen Sie die Ergebnisse.
Wie werden Empfehlungen klassifiziert?
Jeder Sicherheitsempfehlung von Defender für Cloud wird eine von drei Schweregradbewertungen zugewiesen:
Hoher Schweregrad: Diese Empfehlungen sollten sofort behoben werden, da sie auf eine kritische Sicherheitslücke hinweisen, die von einem Angreifer ausgenutzt werden könnte, um unbefugten Zugriff auf Ihre Systeme oder Daten zu erhalten. Beispiele für Empfehlungen mit hohem Schweregrad sind die Entdeckung ungeschützter Geheimnisse auf einem Computer, übermäßig zulässige NSG-Regeln für eingehende Daten, Cluster, die die Bereitstellung von Images aus nicht vertrauenswürdigen Registern zulassen, sowie der uneingeschränkte öffentliche Zugriff auf Speicherkonten oder Datenbanken.
Mittlerer Schweregrad: Diese Empfehlungen weisen auf ein potenzielles Sicherheitsrisiko hin, das rechtzeitig behoben werden sollte, aber gegebenenfalls keine sofortige Aufmerksamkeit erfordert. Beispiele für Empfehlungen mit mittlerem Schweregrad sind Container, die sensible Host-Namespaces gemeinsam nutzen, Webanwendungen, die keine verwalteten Identitäten verwenden, Linux-Rechner, die bei der Authentifizierung keine SSH-Schlüssel benötigen, und ungenutzte Anmeldedaten, die nach 90 Tagen Inaktivität im System verbleiben.
Niedriger Schweregrad: Diese Empfehlungen weisen auf ein relativ geringes Sicherheitsproblem hin, das Sie bei Bedarf beheben können. Beispiele für Empfehlungen mit niedrigem Schweregrad sind die Notwendigkeit, die lokale Authentifizierung zugunsten von Microsoft Entra ID zu deaktivieren, Probleme mit dem Zustand Ihrer Endpunktschutzlösung, die Nichteinhaltung von bewährten Methoden bei Netzwerksicherheitsgruppen oder falsch konfigurierte Protokollierungseinstellungen, die die Erkennung und Reaktion auf Sicherheitsvorfälle erschweren könnten.
Natürlich können sich die internen Ansichten einer Organisation mit der Klassifizierung einer bestimmten Empfehlung von Microsoft unterscheiden. Es ist also immer eine gute Idee, jede Empfehlung sorgfältig zu prüfen und ihre potenziellen Auswirkungen auf Ihre Sicherheitslage abzuwägen, bevor Sie entscheiden, wie Sie sie umsetzen.
Hinweis
Die Kundschaft von Defender CSPM hat Zugang zu einem umfassenderen Klassifizierungssystem, in dem Empfehlungen auf einer dynamischeren Risikostufe angezeigt werden, die den Kontext der Ressource und aller damit verbundenen Ressourcen berücksichtigt. Erfahren Sie mehr über die Risikopriorisierung.
Beispiel
In diesem Beispiel werden auf der Seite mit den Details der Empfehlung 15 betroffene Ressourcen angezeigt:
Wenn Sie die zugrunde liegende Abfrage öffnen und ausführen, gibt der Azure Resource Graph-Explorer dieselben betroffenen Ressourcen und ihren Integritätsstatus für diese Empfehlung zurück.