Freigeben über

Übersicht über die Verwaltung kritischer Ressourcen

Microsoft Security Exposure Management optimiert die Identifizierung und Priorisierung unternehmenskritischer Ressourcen, sodass Risikomanager und SOC-Teams ihre Bemühungen dort konzentrieren können, wo sie am wichtigsten sind, und das Gesamtrisiko der Angriffsfläche reduzieren. Die Ressourcenklassifizierung wird von proprietären Klassifizierern gesteuert, die manuell optimiert werden können, um den Organisationskontext widerzuspiegeln. In diesem Artikel werden die zugrunde liegenden Mechanismen beschrieben, die zum Identifizieren und Klassifizieren von Ressourcen innerhalb des Frameworks für den Schutz kritischer Ressourcen verwendet werden.

  • Microsoft Defender XDR erkennt und kategorisiert kritische Ressourcen automatisch, um die Identifizierung zu optimieren und sofortigen Schutz zu ermöglichen.
  • Ihr Sicherheitsteam kann Sicherheitsuntersuchungen, Statusempfehlungen und Korrekturschritte priorisieren, um sich zuerst auf kritische Ressourcen und Systeme zu konzentrieren.

Vordefinierte Klassifizierungen

Security Exposure Management stellt einen vordefinierten Katalog mit vordefinierten Klassifizierungen kritischer Ressourcen für Ressourcen bereit, die Geräte, Identitäten und Cloudressourcen umfassen. Zu den vordefinierten Klassifizierungen gehören:

  • Kritische Cybersicherheitsressourcen wie Dateiserver und Domänencontroller
  • Datenbanken mit vertraulichen Daten
  • Identitätsgruppen wie Power Users
  • Benutzerrollen wie Administrator für privilegierte Rollen

Darüber hinaus können Sie benutzerdefinierte kritische Ressourcen erstellen, um zu priorisieren, was Ihre organization bei der Bewertung der Exposition und des Risikos als kritisch erachtet.

Identifizieren kritischer Ressourcen

Kritische Ressourcen können auf unterschiedliche Weise identifiziert werden:

  • Automatisch: Die Lösung verwendet erweiterte Analysen, um kritische Ressourcen in Ihrem organization automatisch zu identifizieren, und dies gemäß vordefinierten Klassifizierungen. Dadurch wird der Identifizierungsprozess optimiert, sodass Sie Ressourcen ermitteln können, die einen erhöhten Schutz und sofortige Aufmerksamkeit erfordern.
  • Mit benutzerdefinierten Abfragen: Durch das Schreiben von benutzerdefinierten Abfragen können Sie die "Kronjuwelen" Ihrer organization basierend auf Ihren eindeutigen Kriterien ermitteln. Mit einer präzisen Steuerung können Sie sicherstellen, dass Sie Ihre Sicherheitsbemühungen genau dort konzentrieren können, wo sie benötigt werden.
  • Manuell:
    • Überprüfen Sie ressourcen im Gerätebestand sortiert nach Wichtigkeitsstufe, und identifizieren Sie Ressourcen, die Aufmerksamkeit erfordern.
    • Überprüfen und genehmigen Sie Ressourcen, die automatisch, aber mit geringerer Zuverlässigkeit klassifiziert werden.

Klassifizieren von Ressourcen

Nachdem unternehmenskritische Ressourcen definiert und identifiziert wurden, wird die Ressourcenkritikalität mit Ihren Ressourceninformationen angezeigt. Die Wichtigkeit von Ressourcen ist in andere Umgebungen im Defender-Portal integriert, z. B. in der erweiterten Suche, im Gerätebestand und in Angriffspfaden, die kritische Ressourcen umfassen.

Beispielsweise wird im Gerätebestand eine Wichtigkeitsstufe angezeigt.

Screenshot des Fensters

In einem anderen Beispiel zeigen auf der Karte Angriffsoberfläche, wenn Sie nach Bedrohungen suchen und Drosselungspunkte identifizieren, die Halofarbe, die das Assetsymbol umgibt, und der Kronenindikator die hohe Wichtigkeitsstufe visuell an.

Screenshot eines Medienobjekts, das in der Belichtungskarte im Kontext anderer Verbindungen angezeigt wird. Zwei Geräte auf der Karte zeigen hohe kritische Ebenen an.

Arbeiten mit Ressourcenklassifizierungen

Sie können mit kritischen Ressourceneinstellungen wie folgt arbeiten:

  • Erstellen benutzerdefinierter Klassifizierungen: Sie können neue klassifizierungen kritischer Ressourcen für Geräte, Identitäten und Cloudressourcen erstellen, die auf Ihre organization zugeschnitten sind.
    • Sie verwenden den Abfrage-Generator, um eine neue Klassifizierung zu definieren. Sie können beispielsweise eine Abfrage erstellen, um Geräte mit einer bestimmten Namenskonvention als kritisch zu definieren.
    • Das Erstellen kritischer Ressourcenklassifizierungsabfragen ist auch für begrenzte Fälle nützlich, in denen nicht alle relevanten Ressourcen identifiziert werden.
  • Hinzufügen von Ressourcen zu Klassifizierungen: Sie können Ressourcen manuell zu kritischen Ressourcenklassifizierungen hinzufügen.
  • Ändern von Wichtigkeitsstufen: Sie können die Wichtigkeitsstufen entsprechend dem Risikoprofil Ihrer organization bearbeiten.
  • Benutzerdefinierte Klassifizierungen bearbeiten: Sie können benutzerdefinierte Klassifizierungen bearbeiten, löschen und deaktivieren. Vordefinierte Klassifizierungen können nicht geändert werden. Die Regelfunktion "Deaktivieren" ist für vordefinierte Abfragen verfügbar. Es ist jedoch möglicherweise für einige Benutzer aufgrund bestimmter Probleme nicht sichtbar.

Überprüfen kritischer Ressourcen

Die Klassifizierungslogik für kritische Ressourcen verwendet das Ressourcenverhalten von Microsoft Defender Workloads und Integrationen von Drittanbietern. Um eine andere Logik zu implementieren, deaktivieren Sie die Regel, und erstellen Sie eine benutzerdefinierte Regel, die für Ihre Szenarien geeignet ist.

Einige Ressourcen, die einer Klassifizierung entsprechen, erfüllen möglicherweise nicht den Schwellenwert für die Wichtigkeit. Beispielsweise kann es sich bei einer Ressource um einen Domänencontroller handeln, aber es kann nicht als kritisch für Ihr Unternehmen angesehen werden. Verwenden Sie das Feature "Ressourcenüberprüfung", um diese Ressourcen ihrer definierten Klassifizierung hinzuzufügen. Mit diesem Feature können Sie Ressourcen basierend auf den spezifischen Wichtigkeitskriterien Ihrer organization einschließen.

Initiative zum Schutz kritischer Ressourcen

Die Initiative "Critical Asset Protection" hilft bei der Priorisierung geschäftskritischer Systeme und Ressourcen und konzentriert die Bemühungen des SOC-Teams auf die Verbesserung der Resilienz, der Überwachung und der Reaktion auf Vorfälle. Diese Initiative ist im Abschnitt Initiativen von Exposure Insights im Microsoft Defender-Portal verfügbar.

  • Die Initiative überwacht kontinuierlich die Sicherheitsresilienz Ihrer kritischen Ressourcen und liefert echtzeitbasierte Einblicke in die Wirksamkeit Ihrer Schutzmaßnahmen. Verwenden Sie die Initiativbewertung, um die Sicherheitsresilienz kritischer Ressourcen in verschiedenen Umgebungen zu vergleichen, um Bereiche zu identifizieren, die mehr Fokus und Verbesserung erfordern.
  • Die Initiative bietet Einblick in alle kritischen Ressourcen in Ihrem organization, identifiziert potenzielle Lücken bei der Ermittlung kritischer Ressourcen und optimiert Ihre Klassifizierungen entsprechend. Die Initiative fasst Informationen zu kritischen Ressourcen und deren Sicherheitsresilienz in einer einzigen Ansicht zusammen. Dieser umfassende Bericht ermöglicht Es Ihnen, fundierte Entscheidungen zu treffen und proaktive Maßnahmen zum Schutz Ihrer kritischen Ressourcen zu ergreifen.

Nächste Schritte

Klassifizieren kritischer Ressourcen.