Übersicht über Erkenntnisse zur Offenlegung und Sicherheitsbewertung
Erkenntnisse zur Offenlegung in Microsoft Security Exposure Management aggregieren kontinuierlich Sicherheitsstatusdaten und -erkenntnisse über Workloads hinweg in einer einzigen Pipeline.
Die Sicherheitsrisikoverwaltung befindet sich derzeit in der öffentlichen Vorschauphase.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Erkenntnisse zur Offenlegung
Erkenntnisse zur Offenlegung bieten einen umfassenden Kontext zum Sicherheitsstatus Ihres Ressourcenbestands.
Chief Information Security Officers (CISOs), Entscheidungsträger, Risikobesitzer und Sicherheitsteams können Sicherheitserkenntnisse und -kontexte nutzen, um Gefährdungsrisiken in der gesamten organization zu verwalten und Sicherheitsbemühungen und Investitionen zu priorisieren.
Zu den Erkenntnissen zur Offenlegung gehören Sicherheitsereignisse, Empfehlungen, Metriken und Initiativen. Diese Komponenten bauen aufeinander auf, um einen präzisen Kontext für den Zustand des Sicherheitsstatus bereitzustellen. Insights ermöglichen Folgendes:
- Unterteilen Sie den Sicherheitsstatus der Organisation in priorisierte Initiativen.
- Messen und Nachverfolgen der Offenlegung wichtiger Sicherheitselemente innerhalb von Initiativen.
- Priorisieren Sie Bereiche mit Sicherheitsfokus basierend auf Initiativen und Metriken.
- Befolgen Sie umsetzbare Korrekturschritte, um den Sicherheitsstatus zu verbessern und risiken zu reduzieren.
- Nachverfolgen von Verbesserungen bei Sicherheitsinitiativen, um die Verringerung des Sicherheitsrisikos nachzuverfolgen.
Initiativen
Sicherheitsinitiativen vereinfachen die Verwaltung des Sicherheitsstatus und helfen Ihnen bei der Bewertung der Bereitschaft und Reife in bestimmten Bereichen des Sicherheitsrisikos.
Security Exposure Management bietet vordefinierte Initiativen. Jede vordefinierte Initiative enthält mindestens eine Sicherheitsmetrik, die für diese Initiative relevant ist.
Initiativen können sich auf bestimmte Workloaddomänen beziehen und einen bestimmten Bereich wie Endpunkt, Identität und Cloudsicherheit messen. Sie können zur Bedrohungsanalyse beitragen, indem sie sich auf eine bestimmte Bedrohung in mehreren Kategorien beziehen. Zum Beispiel Ransomware-Schutz oder Schutz vor kritischen Ressourcen. Initiativen können sich auch auf bestimmte Compliancestandards konzentrieren.
Sie können priorisieren, welche Initiativen im Dashboard Übersicht angezeigt werden sollen. Das Initiativergebnis spiegelt die Status der Initiative wider. Sie können auch einen Drilldown in Initiativen durchführen, um die zugehörigen Metriken anzuzeigen und zu verstehen, wo Lücken oder Risiken bestehen. Das Initiativergebnis und die Empfehlungen werden aus Metriken innerhalb der Initiative abgeleitet.
Initiativbewertung
Die Bewertung der Initiative wird basierend auf dem Wert und der Gewichtung der Metriken berechnet, die der Initiative zugeordnet sind. Wenn metriken sich verbessern, steigt die Bewertung der Initiative, was einen besseren Status im Initiativbereich widerspiegelt.
- Metriken verbessern sich weitgehend, indem sie die mit der Initiative verbundenen Empfehlungen anwenden.
- Empfehlungen sind festgelegt, Metriken steigen, und die Initiativenbewertungen steigen, um einen verbesserten Sicherheitsstatus widerzuspiegeln.
- Änderungen an Metriken, einschließlich Veraltung/Entfernung, Wert und Metrikeigenschaften, können sich auf die Initiativbewertung auswirken.
Verlauf
Sie können den Verlauf von Änderungen von mehr als 2,5 % nachverfolgen, die sich auf die Initiativbewertung auswirken. Sie können nach bestimmten Zeitpunkten filtern und einen Drilldown zu bestimmten Änderungen ausführen. Der Verlauf zeigt die prozentualen Auswirkungen von Metriken in der Initiativenbewertung zusammen mit dem Grund für die Änderung, einschließlich:
- Eigenschaftsänderung : Eine Änderung der Gewichtung der Metrik in der Bewertung.
- Wertänderung : Eine Änderung des Werts der Metrik in der Initiativbewertung.
- Metrik entfernt : Die Metrik ist für diese spezifische Initiative nicht mehr relevant. Für instance, wenn ein besserer Vorschlag eingeführt wird oder er irrelevant wird.
- Metrik veraltet : Die Metrik wird global entfernt.
Wenn Sie die geänderte Metrik auswählen, werden weitere Details zur Änderung angezeigt. Für instance wird möglicherweise die neue Gewichtung einer Eigenschaftsänderung oder die Anzahl der betroffenen Ressourcen vor oder nach der Änderung angezeigt.
Sie können die Metrik- oder Bewertungsänderungen nicht im Voraus steuern.
Metriken
Metriken gruppieren Empfehlungen für ähnliche Ressourcen und messen die Sicherheitsrisiken für diese Ressourcen, von sehr hoher Exposition bis hin zu keinem identifizierten Risiko.
Zum Beispiel:
- Prozentsatz der macOS-Endpunkte, für die kein Agent für die Endpunktsicherheitslösung vorhanden ist
- Prozentsatz der Cloudressourcen mit kritischen Sicherheitsrisiken
Jede Metrik zeigt Folgendes an:
- Der Prozentsatz der betroffenen Ressourcen, die relative Bedeutung der Metrik und die Auswirkung der Metrik auf eine Initiative.
- Außerdem wird die Gewichtung oder Wichtigkeit der Metrik und ihre Auswirkung auf das Initiativergebnis als Zahl angezeigt. Einer ist der niedrigste und 10 der höchste.
- Die Metrikgewichtung kann angepasst werden, um basierend auf den Geschäftsprioritäten Ihrer Organisation eine größere oder geringere Auswirkung zu haben.
- Das Bearbeiten des Metrikgewichtungswerts wirkt sich auf die Metrik und alle zugehörigen Initiativen aus.
Den meisten Metriken ist mindestens eine Empfehlung zugeordnet.
Arbeiten mit Metriken
Sie können einen Drilldown in einzelne Metrikempfehlungen ausführen, um sie zu korrigieren. Metrikbewertungen steigen an, wenn Empfehlungen korrigiert werden.
Verwenden Sie Metriken, um die Gefährdung einer Initiative status zu bewerten und exponierte Bereiche oder Bereiche zu identifizieren, die nicht den internen Standards entsprechen. Diese Informationen können verwendet werden, um Bemühungen im Hinblick auf die Risikominderung zu priorisieren.
Metriken werden nur angezeigt, wenn die zugrunde liegenden Daten für die Metrik verfügbar sind.
Metrikeigenschaften
Metriken umfassen mehrere Eigenschaften, die sie kontextualisieren und umsetzbar machen:
Eigenschaft | Beschreibung |
---|---|
Aktueller Wert | Der Prozentsatz der betroffenen Vermögenswerte am Gesamtvermögen. Null Prozent ist am besten, da es keine Exposition gibt, während 100 % am schlechtesten sind. |
Betroffene Elemente | Die Anzahl der Elemente, die der Logik der Metrik entsprechen. In den meisten Fällen handelt es sich bei diesen Elementen um Ressourcen, die verfügbar gemacht werden oder die einen Risikofaktor darstellen. In anderen Fällen ist die Anzahl der fehlenden Microsoft-Sicherheitsbewertungspunkte betroffen, um die empfohlenen Steuerelemente effektiv zu implementieren. |
Total | Die Anzahl der Ressourcen, die für die Metrik gültig sind. Für eine bestimmte Metrik können es z. B. alle Endpunkte sein. Zum anderen können es alle Windows-Endpunkte sein. |
Weight | Die Bedeutung der Metrik und ihre Auswirkung auf den Initiativwert. Einer ist der niedrigste, während 10 der höchste ist. Die Gewichtung kann angepasst werden, um basierend auf den einzigartigen geschäftlichen Prioritäten und Überlegungen Ihrer organization größere oder geringere Auswirkungen zu haben. Das Bearbeiten ihres Metrikgewichtungswerts wirkt sich auf die Metrik und alle zugehörigen Initiativen aus. |
Auswirkung der Bewertung | Die Auswirkung, die das Abschließen der Metrik auf die Initiativbewertung hat. Das heißt, wenn eine bestimmte Metrik abgeschlossen ist, ist die Auswirkung der Bewertung die Ergänzung, die zur Initiativbewertung angezeigt wird. |
Diese Eigenschaften werden angezeigt, wenn alle Metriken im Abschnitt Exposure Insights angezeigt werden.
Wenn Sie alle Metriken auf der Seite metriken anzeigen, wird Folgendes hinzugefügt:
- Der 14-Tage-Trend zeigt die Metrikwertänderungen in den letzten 14 Tagen als Prozentsatz und Diagramm an.
-
Status wie:
- Erfordert Aufmerksamkeit oder erfordert Entschärfung.
- Risiko, das von einem Administrator akzeptiert wird, um anzugeben, dass das Risiko auf nicht messbare Weise gemindert wurde, die sich nicht auf die Bewertung der Initiative auswirkt.
- Das Ziel wurde erreicht , oder die Exposition wurde entschärft.
- Gesamtanzahl der Elemente.
- Letzte Aktualisierung zeigt das datum an, an dem die Metrik zuletzt aktualisiert wurde.
Nicht verfügbare Metriken
In einigen Fällen werden Metriken abgeblendet angezeigt, da die zugrunde liegenden Daten, die für diese Metrik erforderlich sind, nicht vorhanden sind. Für instance, wenn die erforderliche Workload nicht integriert ist oder wenn eine Sicherheitsbewertungsmetrik unter Sicherheitsbewertung auf abgeschlossen oder Risiko akzeptiert festgelegt wurde, sodass Security Exposure Management nicht auf die Metrikdaten zugreifen kann.
Abgeblendete Metriken werden bei der Bewertungsberechnung nicht berücksichtigt.
Zu beachtende Probleme
Beachten Sie einige metrikspezifische Probleme:
- Einige Instanzen betroffener Ressourceninformationen (größtenteils Informationen aus der Sicherheitsbewertung) werden nicht auf der Registerkarte Betroffene Elemente in einer einzelnen Metrik angezeigt.
- Einige wichtige Ressourceninformationen für Ressourcen auf der Registerkarte Betroffene Elemente werden nicht angezeigt.
- Ressourcendetails werden nach Bedarf berechnet.
- Cloudbezogene Metriken sind nur verfügbar, wenn Microsoft Defender für Cloud im Abonnement verfügbar ist und der CsPM-Plan (Defender Cloud Security Posture Management) aktiviert ist.
- In einigen Fällen sind Metriken spezifischer als der Umfang der zugehörigen Empfehlungen. In diesem Fall stimmen die angezeigten Ressourcendetails nicht mit den Ressourcendetails der zugehörigen Empfehlungen überein.
- Wenn Sie eine Workload entfernen, können Sie die Metrik status und die Ressourcendetails für die zugehörigen Metriken der Workload nicht aktualisieren.
Sicherheitsempfehlungen
Ressourcen und Workloads werden anhand von Sicherheitsmessungen und -standards bewertet, und basierend auf diesen Bewertungen werden Sicherheitsempfehlungen ausgegeben.
Empfehlungen enthalten praktische Schritte, die Ihnen helfen, den Sicherheitsstatus und erkannte Probleme zu verbessern und zu beheben.
In Security Exposure Management dient der Empfehlungenkatalog als zentralisiertes Repository für Sicherheitsempfehlungen.
Empfehlungsquellen
Security Exposure Management integriert Empfehlungen von Microsoft Defender für die Cloud, die den CsPM-Plan (Security Posture Management) von Defender für Cloud, Defender XDR Sicherheitsbewertung und andere Microsoft-Workloads ausführt. Außerdem werden Empfehlungen für Nicht-Microsoft-Workloads bereitgestellt.
Arbeiten mit Empfehlungen
Sie können einzelne Empfehlungen, deren Status, Auswirkungen, Quelle, Details zu verfügbar gemachten Entitäten und zugehörige Initiativen und Metriken überprüfen. Jede Empfehlung enthält Korrekturschritte, um erkannte Probleme zu beheben.
Jede Aktion, die aufgrund einer Sicherheitsempfehlung ausgeführt wird, trägt dazu bei, die Gefährdung zu reduzieren und wirkt sich direkt auf die zugehörigen Sicherheitsmetriken und -initiativen aus.
Compliance
Security Exposure Management kategorisiert die Sicherheit nach Konformitätsstatus für die gesamte organization.
- Konform gibt an, dass die Empfehlung erfolgreich implementiert wurde.
- Von Der Organisation entschärft wird angezeigt, wenn Schritte zur Entschärfung von Empfehlungen an anderer Stelle ausgeführt wurden und die Sicherheitsrisikoverwaltung nicht wissen kann, ob Empfehlungen konform sind. Beispielsweise durch Ändern eines status in der Sicherheitsbewertung.
- Nicht verfügbar bedeutet, dass nicht genügend Informationen vorhanden sind, um die Compliance-status zu bestimmen.
Sicherheitsereignisse
Sicherheitsereignisse konsolidieren Informationen zu erkannten Änderungen der Statusverwaltung. Als Reaktion auf Änderungen können Sie sich entsprechend anpassen, um einen stabilen Sicherheitsstatus beizubehalten.
Ereignisse messen den Rückgang oder die Verschlechterung der Bewertung in der Metrik status.
- Ereignisse zum Löschen der Metrikbewertung benachrichtigen Kunden, wenn eine neue Exposition durch die Sicherheitsmetriken gemessen wird. Sie werden basierend auf der Auswirkung auf die Bewertung und deren Gewichtung ausgewertet. Wenn es seit gestern einen Rückgang von mindestens 2 % gibt, was bedeutet, dass die Exposition um 2 % gestiegen ist, wird die Änderung als Ergebnisverlustereignis betrachtet.
- Ereignisse zum Löschen von Initiativenbewertungen benachrichtigen Kunden, wenn Sicherheitsinitiativen abnehmen. Wir bewerten Ereignisse zum Löschen von Initiativenbewertungen basierend darauf, wie sich dies auf die Bewertung auswirkt. Wenn es seit gestern einen Rückgang von mindestens 2 % gibt, wird die Änderung als Ergebnisverlustereignis klassifiziert. Sicherheitsereignisse, die vorhanden sind und nachverfolgen, sowohl Initiativen- als auch Metrikbewertungsverlustvorfälle, um zu bestimmen, wie sie sich auf den Sicherheitsstatus des organization auswirken.
Neue Ereignisse werden oben in der Tabelle angezeigt und können ein neues Initiativenereignis enthalten.
Sicherheitsbewertung
Die Microsoft Secure-Bewertung hilft Organisationen bei der Planung und Verbesserung des allgemeinen Sicherheitsstatus mithilfe der Sicherheitsbewertung als Nachverfolgungsmetrik.
Security Exposure Management verwendet die Sicherheitsbewertung als eine der Quellen für Initiativenbewertungen.
- Die Sicherheitsbewertung enthält "empfohlene Aktionen" für eine Reihe von Produkten.
- Wenn Sie eine Zu überprüfende Empfehlung auswählen, können Sie das Problem im jeweiligen Produkt beheben, einschließlich Empfehlungen, die aus der Sicherheitsbewertung abgeleitet wurden.
- Bei Empfehlungen, bei denen die Sicherheitsbewertung relevant ist, wird diese Empfehlung nicht angezeigt, wenn die Sicherheitsbewertung nicht aktiv ist.