Megosztás a következőn keresztül:


Microsoft Biztonsági pontszám

A Microsoft biztonsági pontszáma egy szervezet biztonsági helyzetének mérése, amely nagyobb számmal jelzi a javasolt műveletek számát. A microsoftos biztonsági pontszám a Microsoft Defender portálon található.

A biztonsági pontszámra vonatkozó javaslatok követése megvédheti a szervezetet a fenyegetésektől. A Microsoft Defender portál központosított irányítópultján a szervezetek figyelhetik és kezelhetik Microsoft 365-identitásaik, alkalmazásaik és eszközeik biztonságát.

A biztonsági pontszám segít a szervezeteknek:

  • Jelentés a szervezet biztonsági helyzetének aktuális állapotáról.
  • A felderíthetőség, a láthatóság, az útmutatás és az ellenőrzés biztosításával javíthatja a biztonsági helyzetüket.
  • Hasonlítsa össze a teljesítménytesztekkel, és hozza létre a fő teljesítménymutatókat (KPI-ket).

Ebből a videóból gyorsan áttekintheti a biztonsági pontszámot.

A szervezetek hozzáférhetnek a metrikák és trendek robusztus vizualizációihoz, más Microsoft-termékekkel való integrációhoz, a hasonló szervezetekkel való pontszám-összehasonlításhoz és sok máshoz. A pontszám akkor is tükrözheti, ha a nem Microsoft-megoldások az ajánlott műveletekkel foglalkoztak.

Képernyőkép a Microsoft biztonsági pontszám kezdőlapjáról a Microsoft Defender portálon

Működése

A következő műveletekhez kap pontokat:

  • Ajánlott biztonsági funkciók konfigurálása
  • Biztonsággal kapcsolatos feladatok végrehajtása
  • A javasolt művelet kezelése nem Microsoft-alkalmazással vagy szoftverrel vagy alternatív megoldással

Néhány javasolt művelet csak akkor ad pontokat, ha teljesen befejeződött. Egyes műveletek részleges pontokat eredményeznek, ha bizonyos eszközök vagy felhasználók feladatai befejeződnek. Ha nem tudja vagy nem szeretné végrehajtani az egyik javasolt műveletet, elfogadhatja a kockázatot vagy a fennmaradó kockázatot.

Ha rendelkezik licenccel az egyik támogatott Microsoft-termékhez, akkor ezekre a termékekre vonatkozó javaslatokat fog látni. Bemutatjuk a termékre vonatkozó lehetséges javaslatok teljes készletét, függetlenül a licenc kiadásától, az előfizetéstől vagy a csomagtól. Ily módon megismerheti a biztonsági ajánlott eljárásokat, és javíthatja a pontszámot. A biztonsági pontszám által képviselt abszolút biztonsági helyzet változatlan marad, függetlenül attól, hogy a szervezet milyen licencekkel rendelkezik egy adott termékhez. Ne feledje, hogy a biztonságnak egyensúlyban kell lennie a használhatósággal, és nem minden javaslat működik a környezetében.

A pontszám valós időben frissül, hogy tükrözze a vizualizációkban és az ajánlott műveletoldalakon megjelenő információkat. A biztonsági pontszám naponta szinkronizálódik, hogy rendszeradatokat kapjon az elért pontokról az egyes műveletekhez.

Megjegyzés:

A Microsoft Teams és Microsoft Entra kapcsolódó javaslatok esetében a javaslat állapota frissül, amikor a konfigurációs állapot megváltozik. Emellett a javaslat állapota havonta egyszer, illetve hetente egyszer frissül.

Főbb forgatókönyvek

Minden javasolt művelet legalább 10 pontot ér, és a legtöbb pontozás binárisan történik. Ha implementálja az ajánlott műveletet, például új szabályzatot hoz létre, vagy bekapcsol egy adott beállítást, a pontok 100%-át kapja meg. Más javasolt műveletek esetén a pontok a teljes konfiguráció százalékában vannak megadva.

Egy javasolt művelet például azt állítja, hogy 10 pontot kap azáltal, hogy az összes felhasználót többtényezős hitelesítéssel védi. Csak 50/100 felhasználó védett, így részleges pontszámot kap öt pontból (50 védett / 100 összesen * 10 max pts = 5 pts).

A biztonsági pontszámban szereplő termékek

Jelenleg a következő termékekre vonatkozó javaslatok érhetők el:

  • Alkalmazásirányítás
  • Microsoft Entra ID
  • Citrix ShareFile
  • Végponthoz készült Microsoft Defender
  • Microsoft Defender for Identity
  • Office Microsoft Defender
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview Információvédelem
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Búg

Az egyéb biztonsági termékekre vonatkozó javaslatok hamarosan elérhetők lesznek. A javaslatok nem fedik le az egyes termékekhez társított összes támadási felületet, de jó alapértékek. Az ajánlott műveleteket megjelölheti egy nem Microsoft-megoldás vagy alternatív megoldás által lefedettként is.

Alapértelmezett biztonsági beállítások

A Microsoft biztonsági pontszáma frissített javasolt műveleteket tartalmaz a [biztonsági alapértékek Microsoft Entra ID](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults támogatásához, hogy megkönnyítse a szervezet védelmét a gyakori támadások előre konfigurált biztonsági beállításaival.

Ha bekapcsolja az alapértelmezett biztonsági beállításokat, a rendszer a következő javasolt műveletekért kap teljes pontokat:

  • Győződjön meg arról, hogy minden felhasználó elvégezheti a többtényezős hitelesítést a biztonságos hozzáférés érdekében (kilenc pont)
  • MFA megkövetelése rendszergazdai szerepkörökhöz (10 pont)
  • Szabályzat engedélyezése az örökölt hitelesítés letiltásához (hét pont)

Fontos

A biztonsági alapértékek közé tartoznak azok a biztonsági funkciók, amelyek hasonló biztonságot nyújtanak a bejelentkezési kockázati szabályzathoz és a felhasználói kockázati szabályzat ajánlott műveleteihez. Ahelyett, hogy ezeket a szabályzatokat az alapértelmezett biztonsági beállításokra állítanák be, javasoljuk, hogy frissítse az állapotukat a következőre Resolved through alternative mitigation: .

Biztonsági pontszám engedélyei

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Engedélyek kezelése Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérléssel (RBAC)

Az egyesített szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Defender XDR egyéni szerepköröket hozhat létre a biztonsági pontszámhoz megadott engedélyekkel. Ezek az engedélyek Defender XDR Egyesített RBAC-engedélymodell Biztonsági helyzet kategóriájában találhatók, és az írásvédett hozzáféréshez az Expozíciókezelés (olvasás) és az Expozíciókezelés (kezelés) nevet kapják azon felhasználók számára, akik hozzáféréssel rendelkeznek a biztonsági pontszámra vonatkozó javaslatok kezeléséhez.

Ahhoz, hogy a felhasználók hozzáférjenek a biztonsági pontszám adataihoz, a Defender XDR Unified RBAC egyéni szerepkörét kell hozzárendelni az Microsoft Biztonságikitettség-kezelés adatforráshoz.

Ha Microsoft Defender XDR Unified RBAC használatával szeretné kezelni a biztonsági pontszám engedélyeit, tekintse meg Microsoft Defender XDR Egyesített szerepköralapú hozzáférés-vezérlés (RBAC) című témakört.

Megjegyzés:

Defender XDR Egyesített RBAC automatikusan aktív a biztonsági pontszám elérése érdekében. Az egyik engedéllyel rendelkező egyéni szerepkör létrehozása azonnal hatással lesz a hozzárendelt felhasználókra. Nincs szükség az aktiválására.

A modell jelenleg csak a Microsoft Defender portálon támogatott. Ha a GraphAPI-t (például belső irányítópultokhoz vagy a Defender for Identity biztonsági pontszámához) szeretné használni, akkor továbbra is Microsoft Entra szerepköröket kell használnia. A GraphAPI támogatása egy későbbi időpontban várható.

globális szerepkörök engedélyeinek Microsoft Entra

Microsoft Entra globális szerepkörök (például a globális rendszergazda) továbbra is használhatók a biztonsági pontszám eléréséhez. Azok a felhasználók, akik rendelkeznek a támogatott Microsoft Entra globális szerepkörökhöz, de nincsenek egyéni szerepkörökhöz rendelve az Microsoft Defender XDR Unified RBAC-ben, továbbra is hozzáférhetnek a biztonsági pontszám adatainak megtekintéséhez (és kezeléséhez, ahol engedélyezettek):

A következő szerepkörök olvasási és írási hozzáféréssel rendelkeznek, módosításokat végezhetnek, közvetlenül kezelhetik a biztonsági pontszámot, és csak olvasási hozzáférést rendelhetnek más felhasználókhoz:

  • Globális rendszergazda
  • Biztonsági rendszergazda
  • Exchange-adminisztrátor
  • SharePoint-adminisztrátor

A következő szerepkörök csak olvasási hozzáféréssel rendelkeznek, és nem tudják szerkeszteni az ajánlott műveletek állapotát vagy jegyzeteit, nem szerkeszthetik a pontszámzónákat, és nem szerkeszthetik az egyéni összehasonlításokat:

  • Ügyfélszolgálati rendszergazda
  • Felhasználói rendszergazda
  • Szolgáltatástámogatási rendszergazda
  • Biztonsági olvasó
  • Biztonsági operátor
  • Globális olvasó

Megjegyzés:

Ha a minimális jogosultsági hozzáférés elvét szeretné követni (ahol csak a felhasználóknak és csoportoknak adja meg az engedélyeket, el kell végezniük a munkájukat), a Microsoft azt javasolja, hogy távolítsa el a meglévő emelt szintű Microsoft Entra globális szerepköröket a felhasználók és/vagy biztonsági csoportok számára, amelyekhez egyéni szerepkör van hozzárendelve biztonsági pontszám engedélyekkel. Ez biztosítja, hogy az egyéni Microsoft Defender XDR egyesített RBAC-szerepkörök érvénybe lépjenek.

Kockázattudatosság

A Microsoft biztonsági pontszáma a biztonsági helyzet numerikus összegzése a rendszerkonfigurációk, a felhasználói viselkedés és más, biztonsággal kapcsolatos mérések alapján. Ez nem a rendszer vagy az adatok esetleges megsértésének teljes valószínűségét méri. Ehelyett azt jelzi, hogy milyen mértékben használ biztonsági vezérlőket a Microsoft-környezetben, amelyek segíthetnek ellensúlyozni a behatolás kockázatát. Egyetlen online szolgáltatás sem mentes a biztonsági incidensektől, és a biztonsági pontszámot semmilyen módon nem szabad a biztonsági incidensek elleni garanciaként értelmezni.

Szeretnénk hallani Öntől

Ha bármilyen problémája van, tudassa velünk a Biztonság, adatvédelem & megfelelőség közösségében.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.