Megosztás a következőn keresztül:

Microsoft Biztonsági pontszám

  • Cikk

A Microsoft biztonsági pontszáma egy szervezet biztonsági helyzetének mérése, amely nagyobb számmal jelzi a javasolt műveletek számát. A microsoftos biztonsági pontszám a Microsoft Defender portálon található.

A biztonsági pontszámra vonatkozó javaslatok követése megvédheti a szervezetet a fenyegetésektől. A Microsoft Defender portálon található központosított irányítópulton a szervezetek figyelhetik és kezelhetik a Microsoft 365-identitásaik, -alkalmazásaik és -eszközeik biztonságát.

A biztonsági pontszám segít a szervezeteknek:

  • Jelentés a szervezet biztonsági helyzetének aktuális állapotáról.
  • A felderíthetőség, a láthatóság, az útmutatás és az ellenőrzés biztosításával javíthatja a biztonsági helyzetüket.
  • Hasonlítsa össze a teljesítménytesztekkel, és hozza létre a fő teljesítménymutatókat (KPI-ket).

Ebből a videóból gyorsan áttekintheti a biztonsági pontszámot.

A szervezetek hozzáférhetnek a metrikák és trendek robusztus vizualizációihoz, más Microsoft-termékekkel való integrációhoz, a hasonló szervezetekkel való pontszám-összehasonlításhoz és sok máshoz. A pontszám akkor is tükrözheti, ha a nem Microsoft-megoldások az ajánlott műveletekkel foglalkoztak.

Képernyőkép a Microsoft Biztonsági pontszám kezdőlapjáról a Microsoft Defender portálon

Működése

A következő műveletekhez kap pontokat:

  • Ajánlott biztonsági funkciók konfigurálása
  • Biztonsággal kapcsolatos feladatok végrehajtása
  • A javasolt művelet kezelése nem Microsoft-alkalmazással vagy szoftverrel vagy alternatív megoldással

Néhány javasolt művelet csak akkor ad pontokat, ha teljesen befejeződött. Egyes műveletek részleges pontokat eredményeznek, ha bizonyos eszközök vagy felhasználók feladatai befejeződnek. Ha nem tudja vagy nem szeretné végrehajtani az egyik javasolt műveletet, elfogadhatja a kockázatot vagy a fennmaradó kockázatot.

Ha rendelkezik licenccel az egyik támogatott Microsoft-termékhez, akkor ezekre a termékekre vonatkozó javaslatokat fog látni. Bemutatjuk a termékre vonatkozó lehetséges javaslatok teljes készletét, függetlenül a licenc kiadásától, az előfizetéstől vagy a csomagtól. Ily módon megismerheti a biztonsági ajánlott eljárásokat, és javíthatja a pontszámot. A biztonsági pontszám által képviselt abszolút biztonsági helyzet változatlan marad, függetlenül attól, hogy a szervezet milyen licencekkel rendelkezik egy adott termékhez. Ne feledje, hogy a biztonságnak egyensúlyban kell lennie a használhatósággal, és nem minden javaslat működik a környezetében.

A pontszám valós időben frissül, hogy tükrözze a vizualizációkban és az ajánlott műveletoldalakon megjelenő információkat. A biztonsági pontszám naponta szinkronizálódik, hogy rendszeradatokat kapjon az elért pontokról az egyes műveletekhez.

Megjegyzés:

A Microsoft Teamshez és a Microsoft Entra-hoz kapcsolódó javaslatok esetében a javaslat állapota frissül, amikor a konfigurációs állapot megváltozik. Emellett a javaslat állapota havonta egyszer, illetve hetente egyszer frissül.

Főbb forgatókönyvek

Minden javasolt művelet legalább 10 pontot ér, és a legtöbb pontozás binárisan történik. Ha implementálja az ajánlott műveletet, például új szabályzatot hoz létre, vagy bekapcsol egy adott beállítást, a pontok 100%-át kapja meg. Más javasolt műveletek esetén a pontok a teljes konfiguráció százalékában vannak megadva.

Egy javasolt művelet például azt állítja, hogy 10 pontot kap azáltal, hogy az összes felhasználót többtényezős hitelesítéssel védi. Csak 50/100 felhasználó védett, így részleges pontszámot kap öt pontból (50 védett / 100 összesen * 10 max pts = 5 pts).

A biztonsági pontszámban szereplő termékek

Jelenleg a következő termékekre vonatkozó javaslatok érhetők el:

  • Alkalmazásirányítás
  • Microsoft Entra ID
  • Citrix ShareFile
  • Végponthoz készült Microsoft Defender
  • Microsoft Defender for Identity
  • Office-hoz készült Microsoft Defender
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview Információvédelem
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Búg

Az egyéb biztonsági termékekre vonatkozó javaslatok hamarosan elérhetők lesznek. A javaslatok nem fedik le az egyes termékekhez társított összes támadási felületet, de jó alapértékek. Az ajánlott műveleteket megjelölheti egy nem Microsoft-megoldás vagy alternatív megoldás által lefedettként is.

Alapértelmezett biztonsági beállítások

A Microsoft biztonsági pontszáma frissített javasolt műveleteket tartalmaz [a Microsoft Entra ID biztonsági alapértelmezett beállításai](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults támogatásához, hogy megkönnyítse szervezete védelmét a gyakori támadások előre konfigurált biztonsági beállításaival.

Ha bekapcsolja az alapértelmezett biztonsági beállításokat, a rendszer a következő javasolt műveletekért kap teljes pontokat:

  • Győződjön meg arról, hogy minden felhasználó elvégezheti a többtényezős hitelesítést a biztonságos hozzáférés érdekében (kilenc pont)
  • MFA megkövetelése rendszergazdai szerepkörökhöz (10 pont)
  • Szabályzat engedélyezése az örökölt hitelesítés letiltásához (hét pont)

Fontos

A biztonsági alapértékek közé tartoznak azok a biztonsági funkciók, amelyek hasonló biztonságot nyújtanak a bejelentkezési kockázati szabályzathoz és a felhasználói kockázati szabályzat ajánlott műveleteihez. Ahelyett, hogy ezeket a szabályzatokat az alapértelmezett biztonsági beállításokra állítanák be, javasoljuk, hogy frissítse az állapotukat a következőre Resolved through alternative mitigation: .

Biztonsági pontszám engedélyei

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Engedélyek kezelése a Microsoft Defender XDR egységes szerepköralapú hozzáférés-vezérléssel (RBAC)

A Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérléssel (RBAC) egyéni szerepköröket hozhat létre a biztonsági pontszámhoz megadott engedélyekkel. Az egyesített RBAC lehetővé teszi annak szabályozását, hogy mely felhasználók férhetnek hozzá a biztonsági pontszám adataihoz, azokhoz a termékekhez, amelyekhez a biztonsági pontszám adatait látják (például a Végponthoz készült Microsoft Defendert), valamint az adatokra vonatkozó jogosultsági szintjüket.

A biztonsági pontszám adatainak további adatforrásokból, például a biztonsági pontszám által támogatott egyéb termékekből való elérésére vonatkozó felhasználói engedélyeket is kezelhet. További információt a Biztonsági pontszámban szereplő termékek című témakörben talál. A biztonsági pontszám adatait a többi adatforrásból önállóan vagy a többi adatforrással együtt is megtekintheti.

A Microsoft Defender XDR unified RBAC használatának megkezdéséhez a biztonsági pontszám engedélyeinek kezeléséhez lásd: Microsoft Defender XDR unified role-based access control (RBAC).

Megjegyzés:

A modell jelenleg csak a Microsoft Defender portálon támogatott. Ha a GraphAPI-t szeretné használni (például belső irányítópultokhoz vagy a Defender for Identity biztonsági pontszámához), akkor továbbra is Microsoft Entra-szerepköröket kell használnia. A GraphAPI támogatása egy későbbi időpontban várható.

A Microsoft Entra globális szerepköreinek engedélyei

A Microsoft Entra globális szerepkörei (például a globális rendszergazda) továbbra is használhatók a biztonsági pontszám eléréséhez. Azok a felhasználók, akik rendelkeznek a támogatott Microsoft Entra globális szerepkörökkal, de nincsenek egyéni szerepkörökhöz rendelve a Microsoft Defender XDR unified RBAC-ben, továbbra is hozzáférhetnek a biztonsági pontszám adatainak megtekintéséhez (és kezeléséhez, ahol engedélyezettek):

A következő szerepkörök olvasási és írási hozzáféréssel rendelkeznek, módosításokat végezhetnek, közvetlenül kezelhetik a biztonsági pontszámot, és csak olvasási hozzáférést rendelhetnek más felhasználókhoz:

  • Globális rendszergazda
  • Biztonsági rendszergazda
  • Exchange-adminisztrátor
  • SharePoint-adminisztrátor

A következő szerepkörök csak olvasási hozzáféréssel rendelkeznek, és nem tudják szerkeszteni az ajánlott műveletek állapotát vagy jegyzeteit, nem szerkeszthetik a pontszámzónákat, és nem szerkeszthetik az egyéni összehasonlításokat:

  • Ügyfélszolgálati rendszergazda
  • Felhasználói rendszergazda
  • Szolgáltatástámogatási rendszergazda
  • Biztonsági olvasó
  • Biztonsági operátor
  • Globális olvasó

Megjegyzés:

Ha a minimális jogosultsági hozzáférés elvét szeretné követni (ahol csak a felhasználóknak és csoportoknak adja meg az engedélyeket, el kell végezniük a munkájukat), a Microsoft azt javasolja, hogy távolítsa el a meglévő emelt szintű Microsoft Entra globális szerepköröket a felhasználók és/vagy biztonsági csoportok számára, amelyekhez egyéni szerepkör van hozzárendelve, biztonsági pontszám engedélyekkel. Ez biztosítja, hogy az egyéni Microsoft Defender XDR egyesített RBAC-szerepkörök érvénybe lépjenek.

Kockázattudatosság

A Microsoft biztonsági pontszáma a biztonsági helyzet numerikus összegzése a rendszerkonfigurációk, a felhasználói viselkedés és más, biztonsággal kapcsolatos mérések alapján. Ez nem a rendszer vagy az adatok esetleges megsértésének teljes valószínűségét méri. Ehelyett azt jelzi, hogy milyen mértékben használ biztonsági vezérlőket a Microsoft-környezetben, amelyek segíthetnek ellensúlyozni a behatolás kockázatát. Egyetlen online szolgáltatás sem mentes a biztonsági incidensektől, és a biztonsági pontszámot semmilyen módon nem szabad a biztonsági incidensek elleni garanciaként értelmezni.

Szeretnénk hallani Öntől

Ha bármilyen problémája van, tudassa velünk a Biztonság, adatvédelem & megfelelőség közösségében.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.