Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Defender for Cloud egy proprietary algoritmust használ a többfelhős környezethez tartozó lehetséges támadási útvonalak megkereséséhez. Defender for Cloud a valós, külsőleg vezérelt és kihasználható fenyegetésekre összpontosít a széles körű forgatókönyvek helyett. Az algoritmus észleli azokat a támadási útvonalakat, amelyek a szervezeten kívül kezdődnek, és az üzletileg kritikus célok felé haladnak, segít átvágni a zajt és gyorsabban cselekedni.
A támadási útvonal elemzésével elháríthatja az azonnali fenyegetést jelentő biztonsági problémákat, és a lehető legnagyobb potenciállal rendelkezik a környezetben való hasznosításra. Defender for Cloud elemzi, hogy mely biztonsági problémák tartoznak a külsőleg közzétett támadási útvonalak közé, amelyekkel a támadók megsérthetik a környezetet. Emellett kiemeli a problémák megoldásához szükséges biztonsági javaslatokat is.
Alapértelmezés szerint a támadási útvonalak kockázati szint szerint vannak rendszerezve. A kockázati szintet egy környezettudatos kockázat-rangsorolási motor határozza meg, amely figyelembe veszi az egyes erőforrások kockázati tényezőit. További információ arról, hogy a Defender for Cloud hogyan prioritizálja a biztonsági ajánlásokat.
Előfeltételek
A Defender Cloud Security Posture Management-et (CSPM) engedélyezni kell, és az agent nélküli ellenőrzésnek is engedélyezve kell lennie.
Szükséges szerepkörök és engedélyek: Biztonsági olvasó, biztonsági rendszergazda, olvasó, közreműködő vagy tulajdonos.
Megjegyzés:
Előfordulhat, hogy egy üres támadási útvonal oldal jelenik meg, mivel a támadási útvonalak mostantól a valós, külsőleg vezérelt és kihasználható fenyegetésekre összpontosítanak a széles körű forgatókönyvek helyett. Ez segít csökkenteni a zajt, és rangsorolni a közelgő kockázatokat.
A tárolókhoz kapcsolódó támadási útvonalak megtekintése:
Hajtsa végre az alábbi lehetőségek egyikét:
- Az ügynök nélküli tárolóállapot-bővítmény engedélyezése a Defender CSPM-ben.
- Enable Defender for Containers és telepítse a megfelelő ügynököket a tárolókkal kapcsolatos támadási útvonalak megtekintéséhez. Ezzel a beállítással a tároló adatsík számítási feladatait is lekérdezheti a Security Explorerben.
Szükséges szerepkörök és engedélyek: Biztonsági olvasó, biztonsági rendszergazda, olvasó, közreműködő vagy tulajdonos.
Támadási útvonalak azonosítása
A támadási útvonal elemzésével megkeresheti a környezet legnagyobb kockázatait, és kijavíthatja őket.
A támadási útvonal oldal áttekintést nyújt az összes támadási útvonalról. Az érintett erőforrásokat és az aktív támadási útvonalak listáját is megtekintheti.
A támadási útvonalak azonosítása a Azure portálon:
Jelentkezzen be a Azure portálra.
Lépjen a Microsoft Defender for Cloud>Támadási útvonal elemzés felületre.
Válasszon ki egy támadási útvonalat.
Jelöljön ki egy csomópontot.
Megjegyzés:
Ha korlátozott engedélyekkel rendelkezik – különösen az előfizetések között –, előfordulhat, hogy nem jelenik meg a támadási útvonal teljes részletei. Ez a bizalmas adatok védelmére tervezett viselkedés. Az összes részlet megtekintéséhez győződjön meg arról, hogy rendelkezik a szükséges engedélyekkel.
Válassza az Elemzés lehetőséget az adott csomóponthoz kapcsolódó elemzések megtekintéséhez.
Válassza a Javaslatok elemet.
Válasszon ki egy javaslatot.
A Defender portál támadási útvonalainak azonosítása:
Jelentkezzen be a Microsoft Defender portálra.
Keresse meg az Expozíciókezelés>támadási felületének>támadási útvonalait. Áttekintheti a támadási útvonalakat.
A támadási útvonalak több nézetet is biztosítanak:
- Áttekintés lap: A támadási útvonalak megtekintése az idő függvényében, az 5 leggyakoribb fulladási pont, az 5 leggyakoribb támadási útvonal forgatókönyve, a legnépszerűbb célok és a legfelső belépési pontok
- Támadási útvonalak listája: A speciális szűrési képességekkel rendelkező összes támadási útvonal dinamikus, szűrhető nézete
- Fulladási pontok: Azon csomópontok listája, ahol több támadási útvonal konvergál, magas kockázatú szűk keresztmetszetként megjelölve
Megjegyzés:
A Defender portálon a támadási útvonal elemzése a szélesebb körű expozíciókezelési képességek részét képezi, és továbbfejlesztett integrációt biztosít más Microsoft biztonsági megoldásokkal és egységes incidensek korrelációjával.
Válassza a Támadási útvonalak lapot.
Speciális szűrés használata a támadási útvonalak listájában adott támadási útvonalakra való összpontosításhoz:
- Kockázati szint: Szűrés magas, közepes vagy alacsony kockázatú támadási útvonalak szerint
- Eszköztípus: Fókusz az adott erőforrástípusokra
- Szervizelési állapot: Megoldott, folyamatban lévő vagy függőben lévő támadási útvonalak megtekintése
- Időkeret: Szűrés adott időszakok szerint (például az elmúlt 30 napban)
Válassza ki a támadási útvonalat a támadási útvonal térképének, egy gráfalapú nézet kiemelésének megtekintéséhez:
- Sebezhető csomópontok: Biztonsági problémákkal rendelkező erőforrások
- Belépési pontok: Külső hozzáférési pontok, ahol a támadások elkezdődhetnek
- Céleszközök: Kritikus fontosságú erőforrásokat próbálnak elérni a támadók
- Fulladási pontok: Konvergenciapontok, ahol több támadási útvonal metszi egymást
Válasszon ki egy csomópontot a részletes információk vizsgálatához:
Megjegyzés:
Ha korlátozott engedélyekkel rendelkezik – különösen az előfizetések között –, előfordulhat, hogy nem jelenik meg a támadási útvonal teljes részletei. Ez a bizalmas adatok védelmére tervezett viselkedés. Az összes részlet megtekintéséhez győződjön meg arról, hogy rendelkezik a szükséges engedélyekkel.
A csomópont részleteinek áttekintése, beleértve a következőket:
- MITRE ATT&CK taktikák és technikák: A támadási módszertan ismertetése
- Kockázati tényezők: A kockázathoz hozzájáruló környezeti tényezők
- Kapcsolódó javaslatok: Biztonsági fejlesztések a probléma megoldásához
Válassza az Elemzés lehetőséget az adott csomóponthoz kapcsolódó elemzések megtekintéséhez.
Válassza a Javaslatok lehetőséget a szervizelési állapot nyomon követésével kapcsolatos végrehajtható útmutatás megtekintéséhez.
Válasszon ki egy javaslatot.
-
Ha végzett a támadási útvonal vizsgálatával, és áttekinti az összes kapcsolódó megállapítást és javaslatot, megkezdheti a támadási útvonal szervizelésének megkezdését.
Miután egy támadási útvonal feloldásra kerül, annak eltávolítása a listáról akár 24 órát is igénybe vehet.
A támadási útvonalak szervizelése
Ha végzett a támadási útvonal vizsgálatával, és áttekinti az összes kapcsolódó megállapítást és javaslatot, megkezdheti a támadási útvonal szervizelésének megkezdését.
A Azure portálon található támadási útvonal szervizelése:
Lépjen a Microsoft Defender for Cloud>Támadási útvonal elemzés felületre.
Válasszon ki egy támadási útvonalat.
Válassza a Szervizelés lehetőséget.
Válasszon ki egy javaslatot.
Miután egy támadási útvonal feloldásra kerül, annak eltávolítása a listáról akár 24 órát is igénybe vehet.
A támadási útvonalon belüli összes javaslat szervizelése
A támadási útvonal elemzése lehetővé teszi az összes javaslat támadási útvonal szerinti megtekintését anélkül, hogy egyenként kellene ellenőriznie az egyes csomópontokat. Az összes javaslatot feloldhatja anélkül, hogy külön-külön kellene megtekintenie az egyes csomópontokat.
A szervizelési útvonal kétféle javaslatot tartalmaz:
- Javaslatok – Javaslatok a támadási útvonal enyhítésére.
- További javaslatok – Javaslatok, amelyek csökkentik a kihasználtság kockázatát, de nem csökkentik a támadási útvonalat.
A Azure portál összes javaslatának feloldása:
Jelentkezzen be a Azure portálra.
Lépjen a Microsoft Defender for Cloud>Támadási útvonal elemzés felületre.
Válasszon ki egy támadási útvonalat.
Válassza a Szervizelés lehetőséget.
Bővítse a További javaslatokat.
Válasszon ki egy javaslatot.
Miután egy támadási útvonal feloldásra kerül, annak eltávolítása a listáról akár 24 órát is igénybe vehet.
A Defender portál összes javaslatának feloldása:
Jelentkezzen be a Microsoft Defender portálra.
Navigáljon az Expozíciókezelés>támadási útvonalának elemzéséhez.
Válasszon ki egy támadási útvonalat.
Válassza a Szervizelés lehetőséget.
Megjegyzés:
A Defender portál a szervizelési folyamat jobb nyomon követését teszi lehetővé, és szélesebb körű biztonsági műveletek és incidenskezelési munkafolyamatok segítségével korrelálhatja a szervizelési tevékenységeket.
Bővítse a További javaslatokat.
Válasszon ki egy javaslatot.
Miután egy támadási útvonal feloldásra kerül, annak eltávolítása a listáról akár 24 órát is igénybe vehet.
Továbbfejlesztett expozíciókezelési képességek
A Defender portál további képességeket biztosít a támadási útvonalak elemzéséhez az integrált expozíciókezelési keretrendszeren keresztül:
- Egyesített incidens korreláció: A támadási útvonalak automatikusan korrelálnak a biztonsági incidensekkel a Microsoft biztonsági ökoszisztémájában.
- Cross-product insights: A támadási útvonal adatai integrálva vannak a Végponthoz készült Microsoft Defender, Microsoft Sentinel és más Microsoft biztonsági megoldások eredményeivel.
- A fenyegetésfelderítés továbbfejlesztése: Továbbfejlesztett környezet Microsoft fenyegetésfelderítési hírcsatornákból a támadási minták és a szereplők viselkedésének jobb megértése érdekében.
- Integrált szervizelési munkafolyamatok: Egyszerűsített szervizelési folyamatok, amelyek több biztonsági eszközre is képesek automatikus válaszokat aktiválni.
- Vezetői jelentéskészítés: Továbbfejlesztett jelentéskészítési képességek a biztonsági vezetés számára üzleti hatásvizsgálatokkal.
Ezek a képességek átfogóbb képet nyújtanak a biztonsági helyzetről, és hatékonyabb választ nyújtanak a támadási útvonal elemzésével azonosított potenciális fenyegetésekre.
Tudjon meg többet a védekezési felhő támadási útvonalairól.