Biztonsági javaslatok áttekintése
A Felhőhöz készült Microsoft Defender az erőforrásokat és a számítási feladatokat az Azure-előfizetésekben, AWS-fiókokban és GCP-projektekben engedélyezett beépített és egyéni biztonsági szabványok alapján értékeli a rendszer. Ezen értékelések alapján a biztonsági javaslatok gyakorlati lépéseket nyújtanak a biztonsági problémák megoldásához és a biztonsági helyzet javításához.
Felhőhöz készült Defender proaktívan használ egy dinamikus motort, amely felméri a környezet kockázatait, és figyelembe veszi a kihasználtság lehetőségét és a szervezetre gyakorolt lehetséges üzleti hatást. A motor az egyes erőforrások kockázati tényezői alapján rangsorolja a biztonsági javaslatokat, amelyeket a környezet kontextusa határoz meg, beleértve az erőforrás konfigurációját, a hálózati kapcsolatokat és a biztonsági helyzeteket.
Előfeltételek
- Engedélyeznie kell a Defender CSPM-et a környezetben.
Feljegyzés
A javaslatokat alapértelmezés szerint a Felhőhöz készült Defender tartalmazza, de nem fogja látni a kockázat rangsorolását anélkül, hogy engedélyezve lenne a Defender CSPM a környezetben.
Javaslatok részleteinek áttekintése
Fontos áttekinteni a javaslattal kapcsolatos összes részletet, mielőtt megpróbálná megérteni a javaslat megoldásához szükséges folyamatot. Javasoljuk, hogy a javaslat feloldása előtt gondoskodjon arról, hogy az összes javaslat részletei helyesek legyenek.
A javaslatok részleteinek áttekintése:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> Recommendations elemre.
Válasszon ki egy javaslatot.
A javaslati lapon tekintse át a részleteket:
- Kockázati szint – A mögöttes biztonsági probléma kihasználhatósága és üzleti hatása, figyelembe véve a környezeti erőforrások kontextusát, például: internetes kitettség, bizalmas adatok, oldalirányú mozgás stb.
- Kockázati tényezők – Az ajánlás által érintett erőforrás környezeti tényezői, amelyek befolyásolják az alapul szolgáló biztonsági probléma kizsákmányolhatóságát és üzleti hatását. A kockázati tényezők közé tartozik például az internetes kitettség, a bizalmas adatok, az oldalirányú mozgás lehetősége.
- Erőforrás – Az érintett erőforrás neve.
- Állapot – A javaslat állapota. Például a nem hozzárendelt, időben esedékes.
- Leírás – A biztonsági probléma rövid leírása.
- Támadási útvonalak – A támadási útvonalak száma.
- Hatókör – Az érintett előfizetés vagy erőforrás.
- Frissesség – A javaslat frissességi intervalluma.
- Utolsó módosítás dátuma – Az a dátum, amikor ez a javaslat utoljára módosult
- Súlyosság – A javaslat súlyossága (Magas, Közepes vagy Alacsony). Részletek alább.
- Tulajdonos – A javaslathoz rendelt személy.
- Határidő – A javaslathoz hozzárendelt dátumot meg kell oldani.
- Taktikák és technikák – A MITRE ATT&CK-ra leképezett taktikák és technikák.
Javaslat felfedezése
Számos műveletet hajthat végre a javaslatok használatához. Ha egy lehetőség nem érhető el, az nem releváns a javaslat szempontjából.
Javaslat felfedezése:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> Recommendations elemre.
Válasszon ki egy javaslatot.
A javaslatban a következő műveleteket hajthatja végre:
A Lekérdezés megnyitása lehetőséget választva részletes információkat tekinthet meg az érintett erőforrásokról egy Azure Resource Graph Explorer-lekérdezés használatával.
Válassza a Szabályzatdefiníció megtekintése lehetőséget az alapul szolgáló javaslat Azure Policy-bejegyzésének megtekintéséhez (ha releváns).
Művelet végrehajtása:
Szervizelés: Az érintett erőforrások biztonsági problémájának elhárításához szükséges manuális lépések leírása. A Javítás lehetőséggel kapcsolatos javaslatok esetén válassza a Szervizelési logika megtekintése lehetőséget, mielőtt alkalmazza a javasolt javítást az erőforrásokra.
Tulajdonos és határidő hozzárendelése: Ha be van kapcsolva egy szabályozási szabály a javaslathoz, tulajdonost és határidőt rendelhet hozzá.
Kivétel: Mentesítheti az erőforrásokat a javaslat alól, vagy letilthatja az egyes megállapításokat letiltó szabályok használatával.
Munkafolyamat-automatizálás: Állítson be egy logikai alkalmazást, amely ezzel a javaslattal aktiválható.
A Találatok területen súlyosság szerint tekintheti át a kapcsolódó megállapításokat.
A Graphban megtekintheti és megvizsgálhatja a kockázat-rangsoroláshoz használt összes környezetet, beleértve a támadási útvonalakat is. A támadási útvonalon kijelölhet egy csomópontot a kijelölt csomópont részleteinek megtekintéséhez.
Jelöljön ki egy csomópontot a további részletek megtekintéséhez.
Válassza az Elemzések lehetőséget.
A biztonsági rések legördülő menüjében válasszon ki egy biztonsági rést a részletek megtekintéséhez.
(Nem kötelező) Válassza a Biztonságirés lap megnyitása lehetőséget a kapcsolódó javaslatoldal megtekintéséhez.
A javaslat szervizelése.
Javaslatok csoportosítása cím szerint
Felhőhöz készült Defender javaslatoldalán cím szerint csoportosíthatja a javaslatokat. Ez a funkció akkor hasznos, ha olyan javaslatot szeretne kijavítani, amely egy adott biztonsági probléma által okozott több erőforrást érint.
Javaslatok csoportosítása cím szerint:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> Recommendations elemre.
Válassza a Csoportosítás cím szerint lehetőséget.
Az Önhöz rendelt javaslatok kezelése
Felhőhöz készült Defender támogatja a javaslatok szabályozási szabályait a javaslatok tulajdonosának vagy a művelet határidejének megadásához. Az irányítási szabályok segítenek biztosítani az elszámoltathatóságot és a javaslatokhoz szükséges SLA-t.
- A javaslatok határidőként jelennek meg a határidő lejártáig, amikor lejártra módosítják őket.
- A javaslat lejártát megelőzően a javaslat nem befolyásolja a biztonságos pontszámot.
- Olyan türelmi időszakot is alkalmazhat, amely alatt a lejárt javaslatok továbbra sem befolyásolják a biztonságos pontszámot.
További információ a szabályozási szabályok konfigurálásáról.
Az Önhöz rendelt javaslatok kezelése:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> Recommendations elemre.
Válassza a Szűrőtulajdonos> hozzáadása lehetőséget.
Válassza ki a felhasználói bejegyzést.
Válassza az Alkalmazás lehetőséget.
A javaslatok eredményei között tekintse át a javaslatokat, beleértve az érintett erőforrásokat, kockázati tényezőket, támadási útvonalakat, határidőket és állapotot.
Válasszon ki egy javaslatot a további áttekintéshez.
A Tulajdonos módosítása > határidő műveletben>válassza a Hozzárendelés szerkesztése lehetőséget a javaslat tulajdonosának és a határidő módosításához, ha szükséges.
- Alapértelmezés szerint az erőforrás tulajdonosa heti e-mailt kap, amely felsorolja a hozzájuk rendelt javaslatokat.
- Ha új szervizelési dátumot jelöl ki, az Indoklás területen adja meg az adott dátum szerinti szervizelés okait.
- Az e-mail-értesítések beállítása területen a következőt teheti:
- Felülbírálja a tulajdonosnak küldendő alapértelmezett heti e-mailt.
- Értesítse a tulajdonosokat hetente a nyitott/lejárt feladatok listájával.
- Értesítse a tulajdonos közvetlen felettesét egy megnyitott feladatlistával.
Válassza a Mentés parancsot.
Feljegyzés
A várt befejezési dátum módosítása nem változtatja meg a javaslat határidejét, de a biztonsági partnerek láthatják, hogy a megadott dátumig frissíteni szeretné az erőforrásokat.
Javaslatok áttekintése az Azure Resource Graphban
Az Azure Resource Graph használatával Kusto lekérdezésnyelv (KQL) írhat Felhőhöz készült Defender több előfizetés biztonsági helyzetadatainak lekérdezéséhez. Az Azure Resource Graph hatékony módot kínál a felhőalapú környezetek közötti nagy léptékű lekérdezésre az adatok megtekintésével, szűrésével, csoportosításával és rendezésével.
Az Azure Resource Graph javaslatainak áttekintése:
Jelentkezzen be az Azure Portalra.
Lépjen a Felhőhöz készült Defender> Recommendations elemre.
Válasszon ki egy javaslatot.
Válassza a Lekérdezés megnyitása lehetőséget.
A lekérdezés kétféleképpen nyitható meg:
- Az érintett erőforrást visszaadó lekérdezés – A javaslat által érintett összes erőforrás listáját adja vissza.
- Biztonsági megállapításokat visszaadó lekérdezés – A javaslat által talált biztonsági problémák listáját adja vissza.
Válassza a futtatási lekérdezést.
Tekintse át az eredményeket.
Hogyan vannak besorolva a javaslatok?
A Felhőhöz készült Defender minden biztonsági ajánlása három súlyossági értékelés egyikéhez van hozzárendelve:
Nagy súlyosság: Ezeket a javaslatokat azonnal meg kell oldani, mivel olyan kritikus biztonsági rést jeleznek, amelyet a támadó kihasználhat a rendszerekhez vagy adatokhoz való jogosulatlan hozzáférés érdekében. Ilyenek például a nagy súlyosságú javaslatok, amikor nem védett titkos kulcsokat fedeztünk fel egy gépen, túlzottan megengedő bejövő NSG-szabályokat, olyan fürtöket, amelyek lehetővé teszik a lemezképek nem megbízható adatbázisokból való üzembe helyezését, valamint a tárfiókokhoz vagy adatbázisokhoz való korlátlan nyilvános hozzáférést.
Közepes súlyosság: Ezek a javaslatok olyan potenciális biztonsági kockázatot jeleznek, amelyet időben meg kell oldani, de nem feltétlenül igényel azonnali figyelmet. A közepes súlyosságú javaslatok közé tartozhatnak a bizalmas gazdagépnévtereket használó tárolók, a felügyelt identitásokat nem használó webalkalmazások, a hitelesítés során SSH-kulcsokat nem igénylő Linux-gépek, valamint a nem használt hitelesítő adatok 90 nap inaktivitás után a rendszerben maradnak.
Alacsony súlyosság: Ezek a javaslatok egy viszonylag kisebb biztonsági problémát jeleznek, amely az Ön kényelmét szolgálja. Az alacsony súlyosságú javaslatok közé tartozhat például a helyi hitelesítés letiltása a Microsoft Entra-azonosító mellett, a végpontvédelmi megoldás állapotával kapcsolatos problémák, a hálózati biztonsági csoportokkal nem követett ajánlott eljárások vagy a helytelenül konfigurált naplózási beállítások, amelyek megnehezíthetik a biztonsági incidensek észlelését és megválaszolását.
A szervezet belső nézetei természetesen eltérhetnek a Microsoft által adott javaslat besorolásától. Ezért mindig érdemes alaposan áttekinteni az egyes ajánlásokat, és mérlegelni annak potenciális hatását a biztonsági helyzetre, mielőtt eldöntené, hogyan kell kezelni.
Feljegyzés
A Defender CSPM ügyfeleinek hozzáférésük van egy gazdagabb besorolási rendszerhez, ahol a javaslatok dinamikusabb kockázati szintet mutatnak, amely az erőforrás környezetét és az összes kapcsolódó erőforrást használja. További információ a kockázati rangsorolásról.
Példa
Ebben a példában ez a javaslat részletei oldalon 15 érintett erőforrás látható:
A mögöttes lekérdezés megnyitásakor és futtatásakor az Azure Resource Graph Explorer ugyanazokat az érintett erőforrásokat adja vissza ehhez a javaslathoz.